Комментарии 4
Эксперты с помощью специализированного ПО производили захват всего трафика, который пересылает исследуемое приложение, а затем анализировали его на наличие как незашифрованного контента, так и незашифрованных пользовательских данных. Большинство приложений, а именно — 75%, получили по данному критерию самый высокий балл. Это значит, что все данные пользователя передаются с использованием алгоритмов шифрования
Кажется, что это крайне недостаточная проверка, забавно видеть, как дырявые приложения, разработчики которых не особо хотят отвечать на сообщения, оказываются не самыми плохими.
Незашифрованный контент при передаче возможно подменить исполняемым файлом, при открытии которого может быть выполнена вредоносная программа.
А вот это звучит крайне интересно: есть куча популярных развлекательных приложений с HTTP-соединениями. Было бы крайне интересно узнать, как это можно использовать для захвата контроля над устройством. Особенно, на IOS.
Аналогичное впечатление было от этих двух пунктов — экспертиза в стиле "детский сад, штаны на лямках". Откуда взялась мысль, что если подменить контент в проприетарном клиенте, он внезапно запустится, это же не браузер, который может разрешить сохранить и потом запустить файл (и то не везде). Без анализа HTTPS на подмену сертификата и даунгрейд протоколов, уязвимостей итд. Звучит как полное позорище, а не экспертиза (если только это опять журналисты не переврали, но у меня отсюда оригинал Роскачества не загружается).
«Незашифрованный контент при передаче возможно подменить исполняемым файлом, при открытии которого может быть выполнена вредоносная программа. Таким образом, что мало вероятно, но тем не менее возможно, при желании и определенных навыках злоумышленник может получить контроль над устройством. Более того, отсутствие шифрования делает устройство уязвимым для атак»
Не, ну это бред. Для этого должна быть определённая уязвимость нефильтрации входных данных, чтобы можно было выполнить произвольный код, да плюс ещё опционально уязвимость повышения прав в системе, чтобы «покинуть пределы приложения». А то эдак мы все уязвимы потому и только потому что браузер может в http-протокол.
Проблема отсутствия шифрования в том, что передаваемые данные могут быть кем-угодно прочитаны и переписаны. Т.е. если реквизиты банковской карты передаются, можно украсть деньги с этой карты, а если местоположение, то можно перенаправить такси на другой конец города. Но «овладевание» устройством — это вообще не про то.
Роскачество выбрало самые безопасные приложения для заказа такси