簡単に言えば、次のことが判明しました(以下-レポート概要の翻訳)。
結果
調査対象の13,500件中1,074件のアプリケーションは、個人データ(ログイン、パスワード、支払い詳細など)の送信にSSLを使用していますが、検証なしで証明書を受け入れるか、証明書のホスト名を受け入れるため、次のような攻撃に対して脆弱です。中間者(MITM)。
より詳細な手動テスト用に選択された100のアプリケーションのうち41は、SSLの不正な動作により、このような攻撃に対して本当に脆弱であることが判明しました。
Google Playマーケットによると、テストにより脆弱性が確認されたスマートフォンにこれらのアプリケーションをインストールしたユーザーの総数は39.5〜1億8,500万人です。 これらのアプリケーションには3つのアプリケーションがあり、それぞれに1,000万から5,000万人のユーザーがいます。 この変化は、Google Playマーケットにはアプリケーションの正確なユーザー数は表示されず、該当する範囲のみがレポートされるという事実によるものです。 公式のリポジトリに加えて、非公式のリポジトリもあるため、実際のユーザー数は多くなる可能性があります。
この41のアプリケーションによって送信されたデータから、研究者はAmerican Express、Diners Club、Paypal、さまざまな銀行口座、Facebook、Twitter、Google、Yahoo、Microsoft Live ID、WordPress、リモート管理サーバー、メールサービスのパスワードに関連する支払いデータを取得することができましたおよびIBM Sametimeなど。
さらに、研究者は独自のウイルスシグネチャをアンチウイルスソフトウェアに挿入して、任意のソフトウェアをウイルスと見なしたり、ウイルスの検出をまったく停止した(ポイントは、アンチウイルスがSSLを介した破損した接続を介してアンチウイルスデータベースの更新を受け入れたため、誤って信頼できると判断し、チェックしなかった)受信した更新の整合性;ウイルス対策プログラムは、署名データベースを完全に消去する更新も受け入れました。
また、特定の脆弱性も発見されたアプリケーションを作成するためのフレームワークを使用して作成されたアプリケーションで、リモートでコードを実装および実行することが判明しました。
さらに悪いことに、オンラインで調査した754人のAndroidユーザーのうち378人(50.1%)は、データがSSLを使用してブラウザによって送信されたかどうかを認識できませんでした。 754の419(55.6%)が、誤った証明書に関する警告を表示せず、通常、警告されるリスクを中または低と評価しました。 ユーザーの中には、IT分野の専門家もいました(回答者の38.1%がITの専門家であり、過去23.2%が侵害されたアカウントやその他の認証データを扱っていました。
開発者の士気 :蜂!
ユーザーのモラル :これを回避できる場合は、パスワードなしでオープンWi-Fiを使用しないでください。 脱出していない場合は、非常に信頼性が高く実績のあるアプリケーションのみを使用してください(おそらく、これはGoogleのGmailのみを意味します)。
追加の読み物について
レポートの全文
別の話ですが、トロイの木馬についてです!Android向けのFakeLookout.Aは、Google Playマーケットのアプリケーションに感染しました(英語)
トロイの木馬に関する物語の翻訳!FakeLookout.Aと私の小さな著作権コメント 。