Отчет об Угрозах Labs McAfee февраля 2015 безопасности Intel находит продолжаемые мобильные неприятности безопасности, которые не фиксируются.Есть отсутствие надлежащей безопасности Транспортного уровня для мобильных приложений, согласно безопасности Intel, которая опубликовала новый отчет 24 февраля.В сентябре 2014 Компьютерная команда экстренного реагирования (CERT) в Университете Карнеги-Меллон публично идентифицировала перечень многократных мобильных приложений, которые имели неприятности Уровня защищенных сокетов (SSL). В январе 2015 безопасность Intel Labs McAfee протестировал эти 25 самый распространенных приложений из перечня CERT и отыскал, что у 18 из них все еще имеется неприятности безопасности SSL.
Эти неприятности имели возможность возможно разрешить атакующему прервать пользовательские эти, что, как предполагается, перемещается по защищенной связи SSL.«Весьма тяжело знать причины, но довольно часто неприятности как они могут быть до факта, приложение деятельно больше не разрабатывается – [это может быть] финиш lifed либо больше не поддерживается; но, многие приложения, которые мы изучили, были весьма активны и в развитии», сообщили Радж Самани, вице-президент и CTO, безопасность Intel, eWEEK. «В этом случае самый возможно, что у них имеется другие приоритеты, к сожалению».
У разработчиков приложений имеется постоянные требования, чтобы реализовать новые опции и сохранить конкурентоспособность, даже при том, что неприятности, повышенные в отчете о Labs McAfee, оказывают огромное влияние, сообщил Самани. К сожалению, довольно много компаний и разработчиков думают о безопасности машинально, дополнении, и не создают ее в из запуска, сказал он.«Вы имели возможность утверждать, что это не случилось тут, в силу того, что они применяли SSL, что добр», сообщил Самани. «Они просто не реализовали его верно, что есть неудачен этот ресурсы разработчика для развития приложения для Android от Гугл».
Гугл имеет веб-страницу, которая обсуждает вопрос надлежащей проверки сертификаций SSL, а также даёт предупреждение довольно потенциальных последствий.Разработчики приложений не могли бы быть вполне осведомлены о проблемах с реализацией SSL их приложений, сообщил Самани. Для разработчика приложений, в случае если код компилирует и выполняется и они видят, что трафик зашифрован, они даже могут не думать, что существует неприятность, уже не говоря о знают, существует ли риск, сказал он.«В этом случае имело возможность произойти так, что уровень обеспечения качества на их приложении есть несоответствующим либо штат, не достаточно квалифицированный для исполнения этого уровня тестирования, которое по существу требует моделирования атакующего, пробующего прерывать трафик, генерируя их личные сертификаты», сообщил Самани.
Даже при том, что имели возможность бы быть кое-какие допустимые причины, разработчик приложений подобающим образом не защитил его либо ее безопасность SSL для разглядываемых приложений в отчете о Labs McAfee, все затронутые поставщики приложений были уведомлены, по крайней мере, дважды, сообщил он.«Предполагая, что контакт был установлен верно, т.е. адреса электронной почты, которые проверены, и т.д., мы сохраняем надежду, что отсутствие исправлений не до людей, не заботящихся о проблеме, но что это – меньше приоритета фиксировать», сообщил Самани. «К сожалению, это может лишь стать приоритетом, в случае если неприятность происходит, и многие их клиенты становятся жертвами и требуют помощи, что может даже привести к искам против компании».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.