Některé populární aplikace pro Android mají problémy s bezpečností

nebezpeci_ico

Podle studie University of New Haven, která letos nalezla bezpečnostní zranitelnosti v komunikačních aplikacích Viber a WhatsApp, mají i další populární programy pro Android velmi slabou úroveň zabezpečení. Materiál uvádí, že vývojáři na této platformě často neimplementují žádná opatření na ochranu osobních údajů, a tím ohrožují soukromí až jedné miliardy uživatelů. Výzkumníci se chystají každý den vystavovat na svém YouTube kanálu jedno video, ve kterém podrobně představí nalezené bezpečnostní nedostatky.

Některé populární aplikace pro Android mají problémy s bezpečností Některé populární aplikace pro Android mají problémy s bezpečností

Šetření bylo prováděno s volně dostupnými nástroji pro analýzu síťového provozu, jako jsou například Wireshark a NetworkMiner, které může nainstalovat a při troše znalostí provozovat prakticky kdokoli. Těmito programy pak byla sledována komunikace a přenos dat mezi aplikacemi a domovskými servery při určitých akcích.

Šetření bylo prováděno s volně dostupným nástrojem pro analýzu síťového provozu Wireshark Šetření bylo prováděno s volně dostupným nástrojem pro analýzu síťového provozu Wireshark

Ukázalo se, že například klientská aplikace sociální sítě Instagram (nyní spadá pod křídla Facebooku) ukládá soukromé fotografie na server v nezašifrované podobě, takže je možné tato data získat. Podobný problém byl zjištěn také v aplikacích OoVoo, MessageMe a TextPlus – zde jsou zranitelné především přenosy obrázků mezi dvěma uživateli. Soubory jsou totiž posílány skrze nezabezpečený HTTP protokol, takže získat přístup k těmto datům je relativně snadné. Zvláště nebezpečná je tato zranitelnost v případech, kdy jsou tímto způsobem odesílány důležité dokumenty.

Instagram ukládá soukromé fotografie na server v nezašifrované podobě Instagram ukládá soukromé fotografie na server v nezašifrované podobě

Podobný problém byl zjištěn také v aplikaci OoVoo Podobný problém byl zjištěn také v aplikaci OoVoo

Podobný problém byl zjištěn také v aplikaci MessageMe Podobný problém byl zjištěn také v aplikaci MessageMe

Dalšími podobně potenciálně nebezpečnými programy jsou například Tango, HeyWire, Grindr, OkCupid a mnohé další. Problém je, že když „někdo získá přístup k tomuto spojení, může získat přístup k obrázku, který byl odeslán. Bez jakéhokoli ověřování“, uvedl Ibrahim Baggili. Zmíněné služby by měly buď zajistit rychlé odstranění souborů ze svých serverů, nebo zajistit, aby se k nim dostali pouze oprávnění uživatelé.

Tango nešifruje přenos souborů mezi uživateli Tango nešifruje přenos souborů mezi uživateli

HeyWire nešifruje přenos souborů mezi uživateli HeyWire nešifruje přenos souborů mezi uživateli

Grindr nešifruje přenos souborů mezi uživateli Grindr nešifruje přenos souborů mezi uživateli

Dalším vroubkem z pohledu bezpečnosti je ukládání záznamů konverzací v nešifrované podobě, což provádějí například „kecálci“ ooVoo, Kik, Nimbuzz a MeetMe. V tomto případě ohrožení nastává v momentě, kdy zařízení ztratíte nebo bude odcizeno – „Každý, kdo získá přístup k vašemu telefonu, může zobrazit všechny zprávy, které byly odeslány oběma směry.“ Ostatní aplikace dokonce ani nešifrují záznamy chatů na serveru.

Kik ukládá záznamy konverzací v nešifrované podobě Kik ukládá záznamy konverzací v nešifrované podobě

Nimbuzz ukládá záznamy konverzací v nešifrované podobě Nimbuzz ukládá záznamy konverzací v nešifrované podobě

MeetMe ukládá záznamy konverzací v nešifrované podobě MeetMe ukládá záznamy konverzací v nešifrované podobě

Výzkumníci poznamenávají, že překvapivě mnoho komunikačních programů nepoužívá správně či dokonce vůbec zabezpečené kryptografické protokoly SSL/TLS (Secure Sockets Layer/Transport Layer Security), což může vést k zachycení dat například prostřednictvím veřejné Wi-Fi skrze tzv. MITM („man-in-the-middle“) útok. Pro tyto účely lze využít třeba nástroj dSploit, který si na rootnutý telefon či tablet může nainstalovat každý (nástroji dSploit jsme se věnovali v samostatné recenzi dSploit: hackněte si svou bezdrátovou síť!).

dSploit: hackněte si svou bezdrátovou síť! dSploit: hackněte si svou bezdrátovou síť!

Například komunikátor OkCupid je aplikace, kterou používají asi 3 miliony lidí na celém světě, přičemž program nešifruje chaty přes SSL. S použitím „snifferu“ mohli vědci vidět text, který byl poslán, jakož i odesílatele a příjemce.

OkCupid nešifruje chaty přes SSL OkCupid nešifruje chaty přes SSL

OkCupid nešifruje chaty přes SSL OkCupid nešifruje chaty přes SSL

OkCupid nešifruje chaty přes SSL OkCupid nešifruje chaty přes SSL

Výsledky analýz výzkumníci odeslali vývojářům dotčených aplikací e-mailem, kde poukázali na nalezené nedostatky, nicméně odpovědi se dočkali jen v některých případech.

Základní bezpečnostní opatření, které byste měli dodržovat, pokud nechcete, aby se vaše soukromá data dostala do nepovolaných rukou, zní: nikdy neposílejte skrze Internet nic, co by neměl vidět někdo další. Když už není jiné cesty, vždy soubory před posláním zašifrujte.

Zdroje: CIO, Keinex, PC World, ComputerWorld.

Karel Kilián
O Autorovi - Karel Kilián

Karel Kilián je zkušený technický redaktor a copywriter s bohatou praxí v oblasti informačních a komunikačních technologií. Jeho kariéra začala na pozici prodavače, odkud postupně… více o autorovi

Mohlo by vás zajímat

Komentáře (8)