Сегодня 15 сентября 2019 г.

Минимизировать

Тема дня

Опубликовано 22 июня 2014 г.

Обнаружена уязвимость в приложениях Google Play

    Исследователи из Школы компьютерного проектирования при Колумбийском университете (США) провели широкомасштабный анализ магазина приложений Google Play и обнаружили серьезные проблемы в системе безопасности, включая данные секретных ключей, которые разработчики хранят в своих приложениях, и если их украсть, то их можно использовать, чтобы завладеть данными пользователей в таких ресурсах, как Amazon и Facebook.

 

    С помощью поискового робота PlayDrone, который был создан самими исследователями для индексации и анализа приложений, профессор Джейсон Най (Jason Nieh) кандидат наук Николас Вайннот (Nicolas Viennot) использовали многочисленные способы для взлома системы безопасности Google, чтобы скачать приложения из магазина Google Play и извлечь исходные коды из них.

    В результате они обнаружили, что система безопасности крайне уязвима, что многие недостатки просто остаются незамеченными, так как, по словам ученых, малоизвестно о том, что загружается разработчиками в Google Play, и о том, что там хранится относительно содержание, помимо приложений. Так называемые «секретные ключи» изначально хранились разработчиками как часть информации о приложении, и, соответственно, если их украсть, то можно воспользоваться данными пользователей, находящимися, например, в Amazon или Facebook.

    «Google Play имеет более миллиона приложений и боле 50 миллиардов скачиваний, но никто не отслеживает, что загружается в Google Play: любой может приобрести аккаунт за $25 и загружать все что угодно. Также практически ничего неизвестно, что находится на агрегированном уровне, - говорит Най. - Принимая во внимание огромную популярность Google Play и потенциальный риск для миллионов пользователей, мы решили, что очень важно тщательно проанализировать содержание Google Play». 

    Для того чтобы просматривать Google Play изо дня в день, PlayDrone был сделан изменяемым: он автоматически добавляет серверы для того, чтобы справляться с необходимым количество загрузок. Применяя данную технологию, исследователи смогли скачать более миллиона приложений для Android и декомпилировать свыше 880 000 этих доступных приложений. 

    После обработки данных и анализа своих открытий группа ученых стала неотъемлемой частью в борьбе с недостатками системы безопасности, так как они остаются в непрерывном контакте с компанией Google, а также позволяют ей использовать свою технологию. В результате Google уже начала улучшать методы и протоколы, применяемые в магазине приложений.

    «Мы работали напрямую с Google, Amazon, Facebook и другими поставщиками услуг для того, чтобы выявить и предупредить пользователей о риске, а также сделать Google Play безопасным магазином, - говорит Вайннот. – Теперь Google использует нашу технологию для заблаговременной проверки приложений, чтобы предотвратить возникновение этих проблем в будущем».

    Помимо анализа всех этих данных, согласно ученым, PlayDrone обнаружил множество других интересных вещей о приложениях, которые не были связаны с безопасностью, а демонстрировали состояние системы. Например, примерно четверть всех бесплатных приложений на Google Play просто-напросто дублируют друг друга, то есть просто являются клонами уже доступных приложений.

     Вдобавок одно приложение, в описании которого утверждается, что если поставить какой-то предмет на экран телефона, то оно определит вес. Но это приложение просто отображало случайные числа, имея при этом более миллиона загрузок. И к тому же было оценено как худшее на Google Play.

http://nauka21vek.ru/archives/58722

Оценить эту статью:
Нет рейтинга
Комментарии (0)Количество просмотров (591)

Автор статьи: admin1

Категории: Тема дня

Теги:

Print

Что бы иметь возможность оставлять комментарии войдите или зарегистрируйтесь.

Ваше имя
Ваш адрес электронной почты
Тема
Введите Ваше сообщение...
x

Календарь

«Сентябрь 2019»
ПнВтСрЧтПтСбВс
2627282930311
2345678
9101112131415
16171819202122
23242526272829
30123456