近日外國媒體 Net Security 報導,FireEye 近日發表最新一份的行動安全調查報告,指出最受歡迎的 1000 個 Android App 都有一個共通點,他們在線上傳輸的 SSL/TLS 加密上,都存在漏洞,可能導致網絡中間人(Man-In-The-Middle)所攻擊。安全小組以中間人的攻擊方式,測試下載數量高的 App,發現他們都存在問題,並把調查結果通知他們,希望他們推出新版本以加強安全性。
調查結果發現,在這 1000 個 App 中,共有 614 個 App 都有使用 SSL/TLS 進行加密,不過在這其中,約有 73% 沒有經伺服器認證,甚至有約 8% 的伺服器主機名稱都還未經認證,有 77% 忽略 SSL 的錯誤訊息。報告中還指出,不少開發者以第三方程式資料庫開發 App,但這些資料庫本身一但出現安全弱點,就可能導致採用這些資料庫的 App都有問題。而且部分安全弱點更是出現在 App 的特色功能之上。
