Některé populární aplikace pro Android mají problémy s bezpečností
- Články
- Karel Kilián
- 14.12.2022
- 8
Podle studie University of New Haven, která letos nalezla bezpečnostní zranitelnosti v komunikačních aplikacích Viber a WhatsApp, mají i další populární programy pro Android velmi slabou úroveň zabezpečení. Materiál uvádí, že vývojáři na této platformě často neimplementují žádná opatření na ochranu osobních údajů, a tím ohrožují soukromí až jedné miliardy uživatelů. Výzkumníci se chystají každý den vystavovat na svém YouTube kanálu jedno video, ve kterém podrobně představí nalezené bezpečnostní nedostatky.
Šetření bylo prováděno s volně dostupnými nástroji pro analýzu síťového provozu, jako jsou například Wireshark a NetworkMiner, které může nainstalovat a při troše znalostí provozovat prakticky kdokoli. Těmito programy pak byla sledována komunikace a přenos dat mezi aplikacemi a domovskými servery při určitých akcích.
Ukázalo se, že například klientská aplikace sociální sítě Instagram (nyní spadá pod křídla Facebooku) ukládá soukromé fotografie na server v nezašifrované podobě, takže je možné tato data získat. Podobný problém byl zjištěn také v aplikacích OoVoo, MessageMe a TextPlus – zde jsou zranitelné především přenosy obrázků mezi dvěma uživateli. Soubory jsou totiž posílány skrze nezabezpečený HTTP protokol, takže získat přístup k těmto datům je relativně snadné. Zvláště nebezpečná je tato zranitelnost v případech, kdy jsou tímto způsobem odesílány důležité dokumenty.
Dalšími podobně potenciálně nebezpečnými programy jsou například Tango, HeyWire, Grindr, OkCupid a mnohé další. Problém je, že když „někdo získá přístup k tomuto spojení, může získat přístup k obrázku, který byl odeslán. Bez jakéhokoli ověřování“, uvedl Ibrahim Baggili. Zmíněné služby by měly buď zajistit rychlé odstranění souborů ze svých serverů, nebo zajistit, aby se k nim dostali pouze oprávnění uživatelé.
Dalším vroubkem z pohledu bezpečnosti je ukládání záznamů konverzací v nešifrované podobě, což provádějí například „kecálci“ ooVoo, Kik, Nimbuzz a MeetMe. V tomto případě ohrožení nastává v momentě, kdy zařízení ztratíte nebo bude odcizeno – „Každý, kdo získá přístup k vašemu telefonu, může zobrazit všechny zprávy, které byly odeslány oběma směry.“ Ostatní aplikace dokonce ani nešifrují záznamy chatů na serveru.
Výzkumníci poznamenávají, že překvapivě mnoho komunikačních programů nepoužívá správně či dokonce vůbec zabezpečené kryptografické protokoly SSL/TLS (Secure Sockets Layer/Transport Layer Security), což může vést k zachycení dat například prostřednictvím veřejné Wi-Fi skrze tzv. MITM („man-in-the-middle“) útok. Pro tyto účely lze využít třeba nástroj dSploit, který si na rootnutý telefon či tablet může nainstalovat každý (nástroji dSploit jsme se věnovali v samostatné recenzi dSploit: hackněte si svou bezdrátovou síť!).
Například komunikátor OkCupid je aplikace, kterou používají asi 3 miliony lidí na celém světě, přičemž program nešifruje chaty přes SSL. S použitím „snifferu“ mohli vědci vidět text, který byl poslán, jakož i odesílatele a příjemce.
Výsledky analýz výzkumníci odeslali vývojářům dotčených aplikací e-mailem, kde poukázali na nalezené nedostatky, nicméně odpovědi se dočkali jen v některých případech.
Základní bezpečnostní opatření, které byste měli dodržovat, pokud nechcete, aby se vaše soukromá data dostala do nepovolaných rukou, zní: nikdy neposílejte skrze Internet nic, co by neměl vidět někdo další. Když už není jiné cesty, vždy soubory před posláním zašifrujte.
Zdroje: CIO, Keinex, PC World, ComputerWorld.
Karel Kilián je zkušený technický redaktor a copywriter s bohatou praxí v oblasti informačních a komunikačních technologií. Jeho kariéra začala na pozici prodavače, odkud postupně… více o autorovi
Komentáře (8)
Přidat komentář