虽然7个月之前就被标注为易受攻击,但仍然有十几个总下载量超过3.5亿次的安卓app依然包含极其严重的HTTPS漏洞,导致密码、电话号码及其它高度敏感的用户数据被泄露,旧金山城市大学的学生研究员指出。
这些易受攻击的app包括OkCupid Dating、Dish Anywhere等,这些app的总下载量介于1.7亿至6.7亿次之间,官方Google Play数据显示。多数app会定期更新,但他们依然包含一个“后遗”漏洞,未能检测出欺诈性TLS证书,一名安全研究人员表示。受相同漏洞影响的安卓app占一小部分。
研究人员发现的这15款依然受HTTPS影响,但在去年9月份时便被标注为不安全app。在九月份的一篇博文中,CERT联系了23,668款易受攻击的app相关人员。由于安全研究人员无法检验所有名单上的app,但有可能更多的app漏洞并未被修复。
为了测试app,学生们使用了Burp 软件套装以及失效的TLS证书来尝试中间人攻击。测试表明,易受攻击的app信任这一证书并使用私钥对通信进行加密及解密。在安卓及iOS app中发现的缺陷尤其危险,因为终端用户几乎不可能发现。
谷歌官员发表声明称,“Google Play禁止会为用户带来漏洞的app上架。Google Play确实将潜在的安全问题通知给开发人员,而且过去我们已采取措施对抗某些app。2014年期间,Google Play开始向大批app发出警告信息(报告显示超过2.5万款app因此而被修复。)我们不久将启动修复这些问题的硬性最后期限。”
谷歌尝试在自己服务器上改进第三方app的安全性是一个良好开端,但记录是有力的证明。在过去的31个月以来,多款app都包含严重的缺陷。如果第三方研究员能够发现这些易受攻击的app,那么谷歌及Apple研究人员同样也能做到。只有这样,才能打消用户的担忧。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。