Aplicativos Android e Insuficiência da Criptografia

Através de uma inspeção realizada, pesquisadores de segurança descobriram condições catastróficas ao analisar aplicativos Android que utilizam sistemas de criptografia. A conclusão foi de que mais de 1.000 dos 13.500 aplicativos mais populares relacionados a plataforma Android mostrou sinais de estar executando uma aplicação incorreta e insegura do protocolo de criptografia SSL / TLS. 






Analistas de segurança preocupam-se com sistema de criptografia utilizado em aplicações desenvolvidas para plataforma Android



Testes realizados em 100 aplicativos selecionados confirmaram que 41 deles eram vulneráveis ​​a ataques que ocorrem com certa frequência. Os pesquisadores colheram detalhes dos usuários de cartões bancários e de cartões de crédito, bem como os tokens de acesso para seu Facebook, Twitter, contas de e-mail e serviços de mensagens. Em um teste particularmente surpreendente, os pesquisadores injetaram uma assinatura falsa no Zoner AntiVirus para Android que se refere ao aplicativo em si. O aplicativo AV, obedientemente, começou a classificar-se como uma ameaça e, então, ofereceu a opção de apagar-se.

Os pesquisadores primeiro examinaram os aplicativos que demonstraram sinais típicos de que o código pode, insuficientemente, verificar os certificados que confirmam a identidade de um parceiro de comunicações. Como não poderia ser completamente certo de que o código identificado foi realmente sendo utilizado, eles então realizaram um ataque man-in-the-middle para quebrar a conexão criptografada.


Saiba Mais: 

[1] Heise On-line http://www.h-online.com/security/new...s-1732847.html 

 

Fonte: https://under-linux.org/content.php?r=5476

.