Исследователи нашли в магазине Google Play десятки приложений, которые или не используют зашифрованное соединение HTTPS, или используют его неправильно, что открывает доступ к аутентификационным данным пользователей. В сумме эти приложения были скачаны более 200 млн. раз и уязвимости не были убраны даже после уведомления их создателей. Открытие было сделано при помощи бесплатного приложения AppBugs, целью которого как раз является поиск установленных на устройстве уязвимых приложений.
В сервисе свиданий Match.com, например, приложение использует незашифрованный протокол HTTP при отправке паролей, так что в той же сети Wi-Fi или через взломанный маршрутизатор их можно перехватить и прочитать. Приложения NBA Game Time, Safeway и PizzaHut используют HTTPS некорректно, что позволяет при атаке «человек посередине» использовать поддельный цифровой сертификат для чтения пользовательских данных.
.png)
Приложение NBA требует аккаунта NBA League Pass стоимостью $199. Об уязвимости в ней разработчики были поставлены в известность в феврале, но ответа не последовало, как и от авторов ещё примерно 50 приложений. Всего было обнаружено около 100 уязвимых приложений и только 28 были исправлены.
Google могла бы самостоятельно обнаруживать уязвимые приложения в своём магазине, однако не похоже, что компания занимается этим. Нынешнее открытие сделано пару месяцев спустя после того, как студенты из Сан-Франциско нашли приложения с похожей ошибкой HTTPS, которые были скачаны 350 млн. раз. На iOS ошибка в популярной библиотеке также вызвала сбой HTTPS в полутора тысячах приложений на iPhone и iPad.