研究稱(chēng)8%免費Android App有SSL漏洞

　　據臺灣媒體報道，約8%的免費Android App使用容易遭受中間人攻擊的SSL/TLS程序代碼。這些App中約有四成很容易遭受中間人攻擊而泄露手機中的資料。包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、WindowsLive等各式賬號與密碼。

　　德國Leibniz、Philipps兩座大學(xué)的研究人員分析了1.35萬(wàn)個(gè)Android免費App后發(fā)現，其中約8%，總計1047個(gè)App使用容易遭受中間人攻擊的SSL/TLS程序代碼。

　　具體的操作分析方法是研究人員設計一個(gè)分析軟件MalloDroid，用來(lái)攔截并分析App的http/https聯(lián)機請求，同時(shí)檢核其SSL憑證的有效性，結果發(fā)現測試的1.35萬(wàn)個(gè)App中，有1047個(gè)App接受任何來(lái)源的憑證。因此，研究人員進(jìn)一步挑選其中一百個(gè)App，發(fā)現其中41個(gè)很容易遭受中間人攻擊。透過(guò)這41個(gè)App，他們可以取得存在手機中的數據，包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、WindowsLive等各式賬號與密碼。

　　同時(shí)，研究人員還發(fā)現，利用假憑證能讓防病毒軟件誤判刪除特定軟件或完全失效，也可以從遠程遙控讓程序加載惡意模塊。但該研究報告并未列出41款App的名稱(chēng)，因為研究重點(diǎn)在于一般常用軟件處理用戶(hù)數據的保護程度，而非惡意軟件或漏洞。研究人員估計這41款App當中有三款安裝量介于一千萬(wàn)到五千萬(wàn)，全部受影響的用戶(hù)可能介于395萬(wàn)到1.85億。

　　據悉，研究人員使用網(wǎng)絡(luò )向754個(gè)用戶(hù)進(jìn)行調查，發(fā)現有一半的使用者不知道瀏覽器是否使用加密聯(lián)機，而忽略憑證警告的使用者更高達56%。

　　因此研究人員建議Android操作系統、在線(xiàn)軟件商店及開(kāi)發(fā)人員都可以解決該問(wèn)題，并計劃提供他們所研發(fā)的工具軟件MalloDroid讓用戶(hù)偵測是否面臨中間人攻擊的威脅，另外他們認為必須提供更多資安教育與工具給開(kāi)發(fā)人員。

　　據悉，SSL/TLS是因特網(wǎng)加密通訊方式的一種，但早在2002年就被資安專(zhuān)家MoxieMarlinspike判定不夠安全。