De fria program från tredje part för Android kanske inte lika säkra som de flesta konsumenter tror.

En grupp av datavetenskapare visade att så många som 185 miljoner Android-användare kunde exponera information om nätbankinformation och sociala nätverk tillsammans med email / IM-kontakter och innehåll.

Forskarna identifierade 41 appar på Googles Play Market for Ice Cream Sandwich som läckte viktig information som den går från telefon till slut server.

Forskarna identifierade inte offentligt de infekterade programmen men sa att de hämtades 39,5 miljoner till 185 miljoner gånger. Forskare skyllde certifikatmyndigheter och webbplatser för att inte sätta in rätt skydd.

Gruppen, som består av datavetenskapare från Tysklands Leibniz-universitet i Hannover och Philipps University of Marburg, presenterade sina fynd vid denna veckas dator- och kommunikationssäkerhetskonferens.

Attacking Android

Forskarna återskapade App-användningen på ett lokalt nätverk för att testa en rad kända exploater för att stjäla känslig information.

Forskarna kunde bryta SSL-protokollen (Secure Sockets layers) och TLS-protokoll (Transport layer Security) som används av appar för att skydda användarens information. Även om SSL- och TLS-teknik anses allmänt säker kan brytningar inträffa när utvecklare eller webbplatser inte tar lämpliga åtgärder för att skydda användare.

"Vi kunde samla in bankkontoinformation, betalningsuppgifter för PayPal, American Express och andra", skrev forskarna i sitt papper.

"Dessutom var läckage på Facebook, e-post och molnlagring läckt, åtkomst till IP-kameror uppnåddes och kontrollkanaler för appar och fjärrservrar kunde subvertas."

Android app: studien

Forskarna började genom att ladda ner 13 500 gratis appar från Google Play och testa om deras SSL-genomförande var sårbart för exploatering.

Forskarna var nyfiken på hur bra dessa appar kan stå emot MITM-attacker (MITM), som riktar sig mot information som överför över allmänna Wi-Fi-hotspots och andra osäkra nätverk.

Efter den statiska analysen fann teamet att 8 procent (eller 1.074 apps) innehöll "SSL-specifik kod som antingen accepterar alla certifikat eller alla värdnamn för ett certifikat och därmed potentiellt är sårbara för MITM-attacker."

Forskarna plockade sedan 100 av programmen för att manuellt granska genom att ansluta dem till ett nätverk som använde en SSL-proxy.

Resultaten

I vissa fall accepterade appar SSL-certifikat som underskrivits av forskarna trots att de inte var en giltig certifikatmyndighet. Andra godkända certifikat godkände ett domännamn för att få tillgång till användarens data som inte var den webbplats som appen skulle komma åt.

Forskare använde framgångsrikt SSLstrip-attacker, som ersatte SSL-protokoll med sin egen okrypterade version. Vissa appar godkände också certifikat signerade av myndigheter som inte längre var giltiga.

Exempel inkluderar en anti-virus-app som accepterade ogiltiga certifikat och tillät laget att mata sin egen skadliga signatur. Också en app från tredje part för ett "populärt Web 2.0-område med upp till 1 miljon användare" läckte Facebook och Google-uppgifter när de loggades in på dessa webbplatser.

Undersökningarna avslöjade inte vilka specifika appar som var sårbara, förmodligen så att de mottagliga programmen inte skulle vara märkta med enkla mål. Istället använde de allmänna termer som "väldigt populär plattforms-meddelandeservice."

De flesta av de program som användes i studien tycktes vara fria, tredje part apps snarare än de officiella versionerna från webbplatser och tjänster.

Google inte att skylla, men kan göra mycket för att hjälpa

Gruppen noterade också att ingen av programmen utvecklades av sökjätten, men Googles ingenjörer kan hjälpa till att göra dessa appar säkra. Ett sätt är att göra det tydligare för användarna när anslutningen som tillhandahålls av en app är krypterad och när den inte är.

Studien visar hur sårbara SSL- och TLS-protokoll kan vara när utvecklare inte tar de rätta åtgärderna för att säkra deras infrastruktur. Eftersom SSL och TLS skapade grunden för nästan all säkerhet för att få data från användare till server, bör dessa programvaruteknikare notera.

Författarna påpekade några metoder Android-utvecklare kan bättre skydda sina appar. Ett sätt är certifikatpinne, vilket gör det mycket tuffare för appar att acceptera falska certifikat.

Men det verkar som om du får vad du betalar för när du litar på känslig information med en gratis bankapplikation från tredje part.

Användare som vill skydda sig kan utsätta appar för samma statiska analys som forskare gjorde när de hämtade nya program. Eller berörda användare kanske vill avstå från att överföra personuppgifter via offentliga, osäkrade Wi-Fi-nätverk.

Via Ars Technica, studien "Varför Eva och Mallory Love Android"