Мільйони користувачів Android могли стати жертвами інтернет-шахраїв. Такого висновку дійшли німецькі дослідники з університету Лейбніца в Ганновері і університету Філіпа в Марбурге.
Учені провели статистичний аналіз 13 500 безкоштовних застосувань з магазину Google Play. Виявилось, що близько тисячі – або 8% – з вибірки мають уразливості в криптографічних протоколах SSL і TLS, які забезпечують конфіденційність обміну даними між клієнтом і сервером. Усі користувачі цих застосувань є потенційними жертвами так званих man – in – the – middle атак, коли зловмисники можуть використати погано захищений протокол передачі даних у своїх інтересах, перехоплюючи і видозмінюючи інформацію.
Із згаданих застосувань 100 були піддані ще глибшому аналізу. Дослідники виявили, що частина програм приймає недостовірні сертифікати безпеки за справжні, а в деяких випадках дані в захищених з’єднаннях можна перехопити за допомогою спеціальної програми. У випадку з більш ніж 40 застосуваннями хакерам не складе труднощів отримати особисті дані тих, хто встановив такі програми на свої пристрої.
Йдеться про банківську інформацію, даних по транзакціях PayPal, паролях від електронної пошти, Facebook і хмарних сховищ. Окрім цього уразливості протоколу дозволили отримати доступ до особистого листування користувачів по електронній пошті і через сервіси миттєвого обміну повідомленнями, а також номерам телефонів зі списків контактів юзерів.
У доповіді, представленій німецькими дослідниками, конкретні застосування не називалися, проте після статистика Google їх завантажили до 185 мільйонів разів. У їх числі – додаток для доступу до хмарного сервісу зберігання даних – від 1 до 5 мільйонів завантажень; клієнт до популярної соціальної мережі – мільйон скачувань; кросс-платформенний сервіс для обміну повідомленнями – від 10 до 50 мільйонів завантажень, і навіть антивірус.
Очевидно, йдеться не про рідні застосування, а про програмне забезпечення, розроблене сторонніми девелоперами. Уразливості працювали на апаратах під управлінням попередньої версії Android – Ice Cream Sandwich.
Висновки дослідників – не ілюзорний привід для тривоги. Практично 100% захищених з’єднань між сайтами і апаратами кінцевих користувачів шифрується за допомогою протоколів SSL і TLS. І якщо вони ненадійні, передача будь-яких особистих даних в мережі представляє велику небезпеку. Причому винні в цьому як розробники додатків, так і виробники мобільних пристроїв.
***
Mozilla відкрила магазин додатків для Android. Firefox Marketplace інтегрований у браузер Firefox Aurora, який, як і магазин, поки що знаходиться в режимі бета-тестирования і призначений головним чином для розробників.
Зараз усі застосування, розміщені в онлайн-магазині, безкоштовні. У їх числі – Twitter, Soundcloud і AirBnb, мобільні ігри, повчальні програми і книги. Сервіс відрізняє те, що усі програми є веб-застосуваннями і не вимагають установки. Це ріднить магазин Mozilla з Chrome Web Store, який входить до складу браузеру від Google. У останньому, іншому, можна знайти тільки десктопні застосування.
Результати пошуку в Firefox Marketplace можна сортувати по рейтингу і переглядати різними способами – списком або у вигляді мініатюр. В майбутньому в сервісі повинні з’явитися огляди, а також можливість придбавати додатки за гроші. Цілком імовірно, що в майбутньому Mozilla інтегрує магазин додатків у власну мобільну операционку, про вихід якої давно ходять чутки. Повноцінний запуск Firefox Marketplace, а також самій Mozilla OS, намічений на 2013 рік.
Конкурувати з Google Play зараз намагаються багато компаній. Власні магазини Android – додатків є у Amazon і Baidu, а нещодавно про запуск аналогічного сервісу заявив російський інтернет-гігант Yandex. Поки що магазин недоступний, проте на його сторінці в мережі говориться про 38 000 застосувань. Втім, сьогодні жоден із сторонніх Android – магазинів не представляє серйозної загрози гегемонії Google Play, де представлені майже 700 000 застосувань. Але враховуючи той факт, що Mozilla OS націлена на недорогі пристрої, призначені для перспективних ринків, що розвиваються, зростання популярності нової платформи серед розробників виключити не можна.