אנליסטים בחברת AppBugs פרסמו רשימה של 14 אפליקציות אנדרואיד (Android), שיחד הורדו על ידי 80 מיליון משתמשים, מעמידות את המכשירים בפני פרצות אבטחה חמורות למדי. המשותף לכל האפליקציות הוא שהן מתחברות לחשבונות של המשתמשים ברשתות החברתיות – כמו גוגל+, פייסבוק, טוויטר – אך משאירות את פרטי ההתחברות, כולל שמות משתמש וססמאות, חשופים לחלוטין.

כך, לדוגמה, Astro File Manager חושפת ססמאות לחשבונות של מיקרוסופט, MeituPic חושפת ססמאות של פייסבוק, ו-gReader פשוט חושפת את כל הפרטים שמוזנים אליה. הבעיה נעוצה בפרוטוקולי האבטחה של הרשאות ה-SSL בהם משתמשות האפליקציות הללו כדי להתחבר, והחשש הוא שהאקר יוכל ליצור פרוטוקולים מזויפים כאלו ולהשתמש בשרת שלו כדי לצוד את פרטי ההתחברות.

AppBugs טוענת כי יצרה קשר עם החברות האחראיות על האפליקציות הללו, וזכתה לאפס מענה. רק אחת מהן תיקנה את הבעיה, ולשאר ככל הנראה לא אכפת. כך שההמלצה כרגע היא להימנע משימוש באפליקציות הללו, או לכל הפחות לא להתחבר באמצעותן לרשתות החברתיות. הנה הרשימה המלאה:

MeituPic
Astro File Manager with Cloud
gReader
Windows Live Hotmail Push Mail
JustUnFollow
Brother iPrint & Scan
Software Data Cable
FriendCaster Chat
PrintHand Mobile Print
Phone for Google Voice & GTalk
Instachat
InstaMessage
InstaG
FoxIt MobilePDF

שתף:
-פרסומת-
מאמין שכל מי שרוצה לדעת עליו משהו כבר גיגל אותו מזמן, זו בכל זאת המאה ה-21. אגב, הוא לא הרופא ולא קשור לשלמה.
  • מרדכי

    כפי הנראה ם משתמשים ב tls 1.0 או ישן מכך ולכן תוקף המאזין לתעבורה יכול לאלץ את השרת להתמש בפרוטוקול ישן יותר..

  • איתי מקמל

    עודכן בכתבה

    • גיא

      תודה 🙂

  • גיא

    אתם יכולים להעלות קישור לדף באתר החברה? הייתי רוצה לקרוא קצת יותר לעומק על זה, במיוחד כשלא ציינתם איזו אפליקציה תיקנה את הבעיה :-).

  • matan mashraki

    לצערנו בעידן של היום לאף אחד לא אכפת מהפרטיות של האחר ולכן אני משתמש בLastPass.

    • מרדכי

      מה יעזור letpass אם את הססמה עצמה לא בטוחה -ז"א ברגע שאתה עושה לוגין לאפליקציה הלא בטוחה -אדם זר יכול ליירט את הססמה/המידע שנשלח בזן ההתקשרות עם האפליקציה-

      • Now

        מה נזכרת בפוסט הזה? 😉 אם משתמשים בLastPass צריך לזכור רק סיסמה אחת ארוכה ומאובטחת ואיתה אפשר ליצור עוד מיליון סיסמאות חזקות יותר בלי הצורך לזכור.

        • מרדכי

          🙂
          סתם שוטטות ברשת :*
          העניין הוא שאם האפליקציה שאליה מתחברים אינה אמינה מה זה משנה מה חוזק המפתח אם ניתן ליירט אותו כי ההצפנה עצמה לא קיימת /חלשה

          • Now

            העניין הוא שאם פורצים לאפליקציה הזאת רק היא נפרצה ולא כל שאר החשבונות כי הרי רוב האנשים משתמשים בסיסמה אחידה לכל האתרים והאפליקציות.

            • מרדכי

              צודק לא חשבתי על זה ..
              שאלה לי אליך אני לא משתמש בשירות של lestpass
              האם הוא שומר את הססמאות באונליין /ענן ?
              אני לא יכול להפקיד את כל החיים הדיגיטלים שלי באפליקציה שיושבת רק על המכשיר (מכשיר אבד/נמחק/התקלקל)

              • Now

                כל המידע נשמר בענן לעומת כל שאר האפליקציות ששומרות את כל הסיסמאות על המכשיר.