McAfee Labs: SSL-уязвимости в мобильных приложениях остаются неисправленными в течение месяцев

Специалисты сымитировали атаку «человек посередине», в ходе которой смогли перехватить данные, отправляемые во время предположительно защищенных SSL-сессий.

Специалисты ИБ-компании McAfee Labs выяснили, что значительное количество мобильных приложений остаются уязвимыми в течение месяцев. Происходит это потому, что разработчики программного обеспечения по каким-либо причинам не исправляют наиболее базовые SSL-уязвимости, а именно, некорректную проверку подлинности цифрового сертификата.

В сентябре 2014 года команда реагирования на инциденты информационной безопастности (CERT) университета Карнеги-Меллон опубликовала перечень мобильных приложений, содержащих данную брешь. В январе текущего года специалисты McAfee проанализировали 25 наиболее популярных приложений из списка и обнаружили, что 18 из них продолжают оставаться уязвимыми, несмотря на обнародование информации о наличии брешей, уведомления поставщиков и, в некоторых случаях, выход многочисленных обновлений, не касающихся вопросов безопасности.

В рамках исследования специалисты сымитировали атаку «человек посередине», в ходе которой смогли перехватить данные, отправляемые во время предположительно защищенных SSL-сессий. Информация включала имена пользователей, пароли, и в некоторых случаях - учетные данные для различных сервисов.

Хотя эксперты не обнаружили доказательств эксплуатации уязвимостей в проверенных приложениях, стоит отметить, что в общем количество их загрузок исчисляется миллионами. Учитывая эти показатели, нежелание разработчиков исправлять SSL-бреши в своих программных продуктах приводит к тому, что миллионы пользователей рискуют стать жертвами атак «человек посередине».

С полным отчетом можно ознакомиться  здесь .