安全人士:Google Play 主流免費應用有安全漏洞
FireEye,一家移動安全研究公司日前發布了對Google Play 商城前1000 免費應用的安全性研究報告,發現當中絕大多數存在SSL/TLS 加密方面的安全漏洞。
該公司的研究團隊,通過分析這些Android 應用中是否和Android 平台的SSL 庫進行了正確連接,也即是否通過安全的網絡協議與應用各自的後台服務器進行數據交換,來判斷漏洞是否存在,以及嚴重性。
經過分析,1000 個榜單靠前的免費應用中,只有614 個使用了SSL/TLS 加密。 614 個應用中共有448 個(73%)不檢查加密的證書版本;1000 個應用中有285 個實用WebKit,當中有219 個(77%)忽略當中產生的SSL 錯誤。
FireEye 認為這些應用的開發者忽視這些嚴重的安全漏洞,將向中間人攻擊「Man-In-The Middle」敞開大門。
所有進入檢測並被發現安全漏洞的應用,當中下載量最少的也達到了上千次。
資料來源:TECH2IPO