Οι ερευνητές που ανακάλυψαν το κενό ασφαλείας Heartbleed, ανακάλυψαν ότι πάνω από τις μισές, από τις 50 πιο δημοφιλείς Android εφαρμογές έχουν κενά ασφάλειας, λόγω της ανεύθυνης ανακύκλωσης βιβλιοθηκών κώδικα.
Η λίστα με τις εφαρμογές αυτές θα ανακοινωθεί μέσα στον μήνα από την Codenomicon που επινόησε τον όρο “Heartbleed”, ενώ θα δημοσιεύει τα συμπεράσματά της για όσους παραμέλησαν να υιοθετήσουν πιο ισχυρές πρακτικές ασφαλείας.
Αυτό που κάνουν οι εν λόγω Android εφαρμογές είναι να στέλνουν το Android ID του χρήστη σε διαφημιστικά δίκτυα τρίτων, προφανώς χωρίς την άδεια του χρήστη.
Σύμφωνα με την μελέτη, 1 στις 10 εφαρμογές στέλνουν τον κωδικό ΙΜΕΙ της συσκευής ή δεδομένα για την τοποθεσία σε τρίτους, 1 στις 10 εφαρμογές συνδέονται με περισσότερα από δύο διαφημιστικά δίκτυα, ενώ προκαλεί εντύπωση το γεγονός, ότι υπάρχει και μία εφαρμογή η οποία στέλνει ακόμα και τον αριθμό του κινητού τηλεφώνου του χρήστη.
Επίσης, το 30% από τις εφαρμογές μεταδίδουν προσωπικά δεδομένα σε μορφή απλού κειμένου και πολλές άλλες δεν κρυπτογραφούν τα δεδομένα κατά την μεταφορά τους.
Ο επικεφαλής ειδικός της Codenomicon σε θέματα ασφαλείας Olli Jarva, είπε στο ITNews ότι το 80% με 90% των εφαρμογών κινητής τηλεφωνίας αποτελείται από επαναχρησιμοποιούμενες βιβλιοθήκες, οι περισσότερες από τις οποίες είναι διαθέσιμες στο πλαίσιο ανοικτού κώδικα.
Aυτό γίνεται διότι οι προγραμματιστές δεν θέλουν να επενδύσουν στο να ξαναγράφουν κώδικα για κάθε εφαρμογή που διαθέτουν.
Συνεπώς, οι εφαρμογές κληρονομούν κενά ασφαλείας, είτε λόγω κακού σχεδιασμού, είτε λαθών κατά την ενσωμάτωση του κώδικα στις εφαρμογές.
Αυτά τα κενά ασφαλείας άλλες φορές ανιχνεύονται, άλλες φορές όπως στην περίπτωση του Heartbreed, εντοπίζονται μετά από χρόνια.
Τέλος, ο Jarva υπαινίχθηκε ότι ορισμένοι προγραμματιστές λειτουργούν “εκ προθέσεως”, ώστε να εξυπηρετήσουν συμφέροντα διαφημιστικών.
Πηγή: e-pcmag.gr
