Миллионы пользователей Android могли стать жертвами интернет-мошенников. К такому выводу пришли немецкие исследователи из университета Лейбница в Ганновере и университета Филиппа в Марбурге.
Ученые провели статистический анализ 13 500 бесплатных приложений из магазина Google Play. Оказалось, что порядка тысячи — или 8% — из выборки имеют уязвимости в криптографических протоколах SSL и TLS, которые обеспечивают конфиденциальность обмена данными между клиентом и сервером. Все пользователи этих приложений являются потенциальными жертвами так называемых man-in-the-middle атак, когда злоумышленники могут использовать плохо защищенный протокол передачи данных в своих интересах, перехватывая и видоизменяя информацию.
Из упомянутых приложений 100 были подвергнуты еще более глубокому анализу. Исследователи обнаружили, что часть программ принимает недостоверные сертификаты безопасности за подлинные, а в некоторых случаях данные в защищенных соединениях можно перехватить при помощи специальной программы. В случае с более чем 40 приложениями хакерам не составит труда получить личные данные тех, кто установил такие программы на свои устройства.
Речь идет о банковской информации, данных по транзакциям PayPal, паролях от электронной почты, Facebook (запрещена в РФ) и облачных хранилищ. Помимо этого уязвимости протокола позволили получить доступ к личной переписке пользователей по электронной почте и через сервисы мгновенного обмена сообщениями, а также номерам телефонов из списков контактов юзеров.
В докладе, представленном немецкими исследователями, конкретные приложения не назывались, однако по статистике Google их загрузили до 185 миллионов раз. В их числе — приложение для доступа к облачному сервису хранения данных – от 1 до 5 миллионов загрузок; клиент к популярной социальной сети – миллион скачиваний; кросс-платформенный сервис для обмена сообщениями – от 10 до 50 миллионов загрузок, и даже антивирус.
По всей видимости, речь идет не о родных приложениях, а о программном обеспечении, разработанном сторонними девелоперами. Уязвимости работали на аппаратах под управлением предыдущей версии Android – Ice Cream Sandwich.
Выводы исследователей – не иллюзорный повод для тревоги. Практически 100% защищенных соединений между сайтами и аппаратами конечных пользователей шифруется при помощи протоколов SSL и TLS. И если они ненадежны, передача любых личных данных в сети представляет большую опасность. Причем виноваты в этом как разработчики приложений, так и производители мобильных устройств.
***
Mozilla открыла магазин приложений для Android. Firefox Marketplace интегрирован в браузер Firefox Aurora, который, как и магазин, пока что находится в режиме бета-тестирования и предназначен главным образом для разработчиков.
Сейчас все приложения, размещенные в онлайн-магазине, бесплатны. В их числе – Twitter, Soundcloud и AirBnb, мобильные игры, обучающие программы и книги. Сервис отличает то, что все программы представляют собой веб-приложения и не требуют установки. Это роднит магазин Mozilla с Chrome Web Store, который входит в состав браузера от Google. В последнем, прочем, можно найти только десктопные приложения.
Результаты поиска в Firefox Marketplace можно сортировать по рейтингу и просматривать различными способами — списком или в виде миниатюр. В будущем в сервисе должны появиться обзоры, а также возможность приобретать приложения за деньги. Вполне вероятно, что в будущем Mozilla интегрирует магазин приложений в собственную мобильную операционку, о выходе которой давно ходят слухи. Полноценный запуск Firefox Marketplace, а также самой Mozilla OS, намечен на 2013 год.
Конкурировать с Google Play сейчас пытаются многие компании. Собственные магазины Android-приложений есть у Amazon и Baidu, а недавно о запуске аналогичного сервиса заявил российский интернет-гигант Yandex. Пока что магазин недоступен, однако на его странице в сети говорится о 38 000 приложений. Впрочем, сегодня ни один из сторонних Android-магазинов не представляет серьезной угрозы гегемонии Google Play, где представлено почти 700 000 приложений. Но учитывая тот факт, что Mozilla OS нацелена на недорогие устройства, предназначенные для перспективных развивающихся рынков, рост популярности новой платформы среди разработчиков исключить нельзя.
