אנליסטים בחברת AppBugs פרסמו רשימה של 14 אפליקציות אנדרואיד (Android), שיחד הורדו על ידי 80 מיליון משתמשים, מעמידות את המכשירים בפני פרצות אבטחה חמורות למדי. המשותף לכל האפליקציות הוא שהן מתחברות לחשבונות של המשתמשים ברשתות החברתיות – כמו גוגל+, פייסבוק, טוויטר – אך משאירות את פרטי ההתחברות, כולל שמות משתמש וססמאות, חשופים לחלוטין.
כך, לדוגמה, Astro File Manager חושפת ססמאות לחשבונות של מיקרוסופט, MeituPic חושפת ססמאות של פייסבוק, ו-gReader פשוט חושפת את כל הפרטים שמוזנים אליה. הבעיה נעוצה בפרוטוקולי האבטחה של הרשאות ה-SSL בהם משתמשות האפליקציות הללו כדי להתחבר, והחשש הוא שהאקר יוכל ליצור פרוטוקולים מזויפים כאלו ולהשתמש בשרת שלו כדי לצוד את פרטי ההתחברות.
AppBugs טוענת כי יצרה קשר עם החברות האחראיות על האפליקציות הללו, וזכתה לאפס מענה. רק אחת מהן תיקנה את הבעיה, ולשאר ככל הנראה לא אכפת. כך שההמלצה כרגע היא להימנע משימוש באפליקציות הללו, או לכל הפחות לא להתחבר באמצעותן לרשתות החברתיות. הנה הרשימה המלאה:
MeituPic
Astro File Manager with Cloud
gReader
Windows Live Hotmail Push Mail
JustUnFollow
Brother iPrint & Scan
Software Data Cable
FriendCaster Chat
PrintHand Mobile Print
Phone for Google Voice & GTalk
Instachat
InstaMessage
InstaG
FoxIt MobilePDF
כפי הנראה הם משתמשים ב tls 1.0 או ישן מכך ולכן תוקף המאזין לתעבורה יכול לאלץ את השרת להתaמש בפרוטוקול ישן יותר ללא אימות
אתם יכולים להעלות קישור לדף באתר החברה? הייתי רוצה לקרוא קצת יותר לעומק על זה, במיוחד כשלא ציינתם איזו אפליקציה תיקנה את הבעיה :-).
עודכן בכתבה
תודה :-)
לצערנו בעידן של היום לאף אחד לא אכפת מהפרטיות של האחר ולכן אני משתמש בLastPass.
מה יעזור letpass אם את הססמה עצמה לא בטוחה -ז”א ברגע שאתה עושה לוגין לאפליקציה הלא בטוחה -אדם זר יכול ליירט את הססמה/המידע שנשלח בזן ההתקשרות עם האפליקציה-
מה נזכרת בפוסט הזה? ;) אם משתמשים בLastPass צריך לזכור רק סיסמה אחת ארוכה ומאובטחת ואיתה אפשר ליצור עוד מיליון סיסמאות חזקות יותר בלי הצורך לזכור.
:)
סתם שוטטות ברשת :*
העניין הוא שאם האפליקציה שאליה מתחברים אינה אמינה מה זה משנה מה חוזק המפתח אם ניתן ליירט אותו כי ההצפנה עצמה לא קיימת /חלשה
העניין הוא שאם פורצים לאפליקציה הזאת רק היא נפרצה ולא כל שאר החשבונות כי הרי רוב האנשים משתמשים בסיסמה אחידה לכל האתרים והאפליקציות.
צודק לא חשבתי על זה ..
שאלה לי אליך אני לא משתמש בשירות של lestpass
האם הוא שומר את הססמאות באונליין /ענן ?
אני לא יכול להפקיד את כל החיים הדיגיטלים שלי באפליקציה שיושבת רק על המכשיר (מכשיר אבד/נמחק/התקלקל)
כל המידע נשמר בענן לעומת כל שאר האפליקציות ששומרות את כל הסיסמאות על המכשיר.