Tutkimuksessa asennettiin 13500 suosittua sovellusta Google Play -kaupasta. Näistä yli tuhannella sovelluksella oli vakavia puutteita SSL-varmenteessa, joka teki sovellukset alttiiksi MITM-hyökkäyksille. MITM-hyökkäyksissä eli mies välissä -hyökkäyksissä hyökkääjä asettuu kahden tietoa vaihtavan osapuolen välille välittäjäksi ja voi halutessaan muuttaa viestin sisältöä. Esimerkiksi useimmat lähiverkkotekniikat mahdollistavat MITM-tekniikan käytön.
Tutkimuksessa tutkijat pystyivät haavoittuvuuden avulla sieppaamaan sovellusten kautta esimerkiksi luottokorttinumeroita, nettipankkitunnuksia, sosiaalisen median tunnuksia ja sähköpostiosoitteita. Tutkijoiden mukaan jopa 39,5-185 miljoonaa ihmistä käyttävät sovelluksia, joissa on heikko SSL tai TLS. Tutkimusta varten tutkijat kehittivät MalloDroid-nimisen työkalun, joka suunniteltiin havaitsemaan ja tunnistamaan puutteita SSL:ssa.
Kommentit (4)
4.1.2 on jo julkaistu ja seuraava lienee 4.2
Minkä ihminen osaa rakentaa sen myös toinen voi purkaa.
Vastaa
En tosin ennenkään olisi luottanut pankkiyhteyksissä mihinkään kännyköihin, vaan ihan PC:hen tai läppäriin.
Ennakoin jo kuulevani, että muillakin on vastaavia ongelmia, en ole niin vainoharhainen, että kaikki juttuni olisivat salaisia, mutta pankkijuttujen täytyy olla.
Täytyy olla todella minusta kiinnostunut, mikäli julkisia tekstejä tai valokuvia haluaa katella, voisi tulla haukotus.
@5 Siksi käytänkin puheluihin pikkusta Nokialaista ja muuhun käyttöön Android-puhelinta.
Ja toisaalta windowshan on ollut useimpien haittaohjelmien kuormittama.. Tämä tosin jo hivenen haisee..
niinkuin aiemmin kirjoitin pankkijuttujen täytyy olla hyvin kryptattuja.
Aikoinaan armeijan jutuissakin oli 24 tunnin välein vaihtuva 25-merkkinen salasana, ja oli laskettu, että sen murtamiseen menisi muutama vuorokausi, mutta silloin tieto olisi jo vanhentunutta.
Parempi tämä, joka istunnon jälkeen vaihtuva koodi, joka löytyy vain vihkosta.
Yleisesti, kuka nyt jaksaisi olla kaiken maailman kuvista tai teksteistä kiinnostunut, tietokanta on valtava, no toivottavasti ne jotka lukevat juttujani yleisestä sanomalehdestä.
Itse en ainakaan puhelimella tee mitään, mikä saattaisi vaarantaa itselle jonkin tärkeän tiedon. Tietoturva aina asian tärkeyden mukaan. Ei ole niin justiinsa, jos joku puhelimestani vie diipadaapa forumin tunnukset. Pankki asiat hoidan sitten tietokoneella. Tosin eipä se tietokonekaan välttämättä ole sen turvallisempi, mutta itsellä ainakin sen tietoturvaan enemmän panostettu.