Безопасность Android находится под огнем – снова

android

АНАЛИЗ НОВОСТЕЙ: пара новых отчетов нацеливается на безопасность Android, но существуют пользователи шагов, может взять, и небо не падает.Другой день и все же другой набор отчетов, утверждающих ненадежность в Android мобильная операционная система.

На этой неделе, не один, но два отчета вышел, детализировав угрозы безопасности в Android.Один из отчетов, выпущенных поставщиком систем обеспечения безопасности FireEye 20 августа, имеет дело с безопасностью Уровня защищенных сокетов (SSL) или отсутствием этого, в приложениях для Android.Исследователи FireEye нашли, что приблизительно 68 процентов 1 000 наиболее загруженных бесплатных приложений, доступных в складе Google Play, имеют некоторую форму связанной с SSL угрозы безопасности.Среди проблем, которые раскрыл FireEye, факт, что через приложения, которые утверждают, что использовали SSL, приблизительно 73 процента фактически не проверяли сертификаты SSL на подлинность.

FireEye также нашел, что 8 процентов приложений фактически не проверяли имя узла на сертификате. Способ, которым SSL работает, сертификат, должен быть выпущен для определенного имени узла, чтобы быть допустимым.Проблемой плохого SSL в мобильных приложениях и в частности Android не является новая тема. Фактически, это было недавно обсуждено очень подробно во время конференции по Обороноспособности в начале месяца, где пара исследователей в области безопасности от LinkedIn детализировала многократные связанные с SSL мобильные дефекты.

Как имеет место в исследовании FireEye, исследователи LinkedIn, также найденные сертификатом и проверкой имени узла для недостатка.В то время как проблемы SSL, детализированные FireEye и исследователями LinkedIn, имеют дело с тем, как сторонние приложения используют SSL, существуют другие дефекты в самом Android, которые были обсуждены на этой прошлой неделе.В газете, освобожденной 22 августа, Калифорнийский университет в Риверсайде и исследователи Мичиганского университета детализировали, как они могли напасть на Gmail на Android с 92-процентным показателем успешности.«Безопасность платформ GUI смартфона остается важным все же под – тщательно исследуемая тема», заявляет краткий обзор научно-исследовательской работы. «В этой газете мы сообщаем, что в системе Android (и вероятно другие Ose), более слабая форма конфиденциальности GUI может быть нарушена в форме государства UI (не пиксели) фоновым приложением, не требуя никаких полномочий».

Таким образом для резюме много распространенных приложений должным образом не реализовывают SSL, который мог позволить информации о пользователе поставиться под угрозу. Добавление далее оскорбляет к ущербу, возможно, что вредоносное приложение могло украсть информацию из пользовательского интерфейса Android.

Как снизить рискОни – серьезные проблемы и не должны быть отклонены слегка. Однако существуют способы, которыми пользователи могут снизить риск.В случае приложений, не используя SSL надежно, способ, которым атакующий использовал бы тот дефект, посредством некоторой формы нападения человека в середине (MiTM).

В тех нападениях данные прерываются в некоторый момент в сетевом пути, потенциально в точке доступа WiFi. Используя виртуальную частную сеть (VPN) в неизвестных точках доступа или в общественных местах всегда хорошая идея и наиболее успешная практика, которая могла бы снизить риск.Связанные с UI нападения требуют, чтобы пользователь так или иначе загрузил, или заражен вредоносным приложением сначала. Снова, стандартная интернет-гигиена наиболее успешной практики является хорошей идеей здесь.

Снизьте такой риск, не загрузив приложения с за пределами склада Google Play. В то время как возможно, что приложения в Google Play могли находиться в опасности, Google имеет свое собственное усилие по сканированию помочь идентифицировать вредоносные приложения, которые должны сократить потенциальное воздействие.

Конечно, Android является платформой с очень активной научно-исследовательской деятельностью безопасности, и существуют понятные беспокойства, с которыми будут иметь дело. Небо, однако, не падает; с безопасностью исследование прибывает осведомленность о проблемах, которая, надо надеяться, приводит к лучшим результатам безопасности.Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.

Следуйте за ним в Твиттере @TechJournalist.

VIRTU-VIRUS.RU