Дефект HTTPS даёт доступ к логинам и паролям множества Android-приложений

Исследователи нашли в магазине Google Play десятки приложений, которые или не используют зашифрованное соединение HTTPS, или используют его неправильно, что открывает доступ к аутентификационным данным пользователей. В сумме эти приложения были скачаны более 200 млн. раз и уязвимости не были убраны даже после уведомления их создателей. Открытие было сделано при помощи бесплатного приложения AppBugs, целью которого как раз является поиск установленных на устройстве уязвимых приложений.

В сервисе свиданий Match.com, например, приложение использует незашифрованный протокол HTTP при отправке паролей, так что в той же сети Wi-Fi или через взломанный маршрутизатор их можно перехватить и прочитать. Приложения NBA Game Time, Safeway и PizzaHut используют HTTPS некорректно, что позволяет при атаке «человек посередине» использовать поддельный цифровой сертификат для чтения пользовательских данных.

Приложение NBA требует аккаунта NBA League Pass стоимостью $199. Об уязвимости в ней разработчики были поставлены в известность в феврале, но ответа не последовало, как и от авторов ещё примерно 50 приложений. Всего было обнаружено около 100 уязвимых приложений и только 28 были исправлены.

Google могла бы самостоятельно обнаруживать уязвимые приложения в своём магазине, однако не похоже, что компания занимается этим. Нынешнее открытие сделано пару месяцев спустя после того, как студенты из Сан-Франциско нашли приложения с похожей ошибкой HTTPS, которые были скачаны 350 млн. раз. На iOS ошибка в популярной библиотеке также вызвала сбой HTTPS в полутора тысячах приложений на iPhone и iPad.