Android-apps har SSL-sårbarheder

Artiklen blev oprindeligt publiceret den 22/8/2014

To tredjedele af de mest populære apps til Android har mindst en sårbarhed relateret til SSL. Det gør det muligt at misbruge dem til man-in-the-middle-angreb.

Sikkerhedsfirmaet FireEye har analyseret de 1.000 mest downloadede gratis apps i Google Play-butikken. 674 af dem har mindst en ud af tre sårbarheder i SSL, som Fireeye tjekkede for.

Ud af 614 apps som anvender SSL/TLS til at kommunikere med en server, undlader 448 at kontrollere, at serverens certifikat er korrekt.

Sårbarhederne ligger ofte i tredjepartsbiblioteker. For eksempel bruger mange apps biblioteket Flurry til at vise reklamer.

FireEye har udviklet et angreb, der udnytter sårbarheder i Flurry til at opsnappe data, der bliver sendt til firmaets webserver. Fejlen er fjernet i version 3.4 af biblioteket.

Links