德国Leibniz、Philipps两座大学的研究人员分析1.35万个Android免费App后发现,其中约8%,总计1047个App使用容易遭受SSL/TLS程序中间人攻击。SSL/TLS是互联网加密通讯方式的一种,但早在2002年就被安全专家Moxie Marlinspike批评不够安全。此次德国研究人员设计一个分析软件MalloDroid来拦截并分析App的http/https连线请求,同时检验其SSL凭证的有效性,结果发现测试的1.35万个App中,有1047个App接受任何来源的凭证。
研究人员进一步挑选其中一百个App,发现其中41个很容易遭受中间人攻击。通过这41个App,他们可以取得存在手机中的资料,包含信用卡、银行、Paypal、Facebook、Twitter、Google、雅虎、Windows Live等各式帐号与密码。 研究人员还发现,利用假凭证能让手机杀毒软件误判删除特定软件或完全失效,也可以从远端遥控让手机自动安装恶意软件。
该研究报告并未列出41款App的名称,因为研究重点在于一般常用软件对使用者资料的保护程度,而非手机软件漏洞。研究人员估计这41款App当中有三款安装量介于一千万到五千万,全部受影响的用户可能达到1亿。研究人员通过网络向754个使用者进行调查,发现有一半的使用者不知道浏览器是否使用加密连接,而忽略凭证警告的使用者更高达56%。
