Основой проведенного исследования стали автоматически сформированные отчеты с помощью Solar inCode, способное проверить степень защищиты приложений без доступа к их исходному коду, используя методы статического, динамического и интерактивного анализа кода.
Эксперты изучили десять наиболее популярных мобильных приложений.
И каждое рассматривалось для мобильных операционных систем iOS и Android.
Coinbase, BlockChain, Xapo и Coins.ph для Android каждое, из которых было скачано свыше миллиона раз. Это самые скачиваемые приложения в своем классе. Copay, Mycelium и Luno были загружены из Google Play свыше 500 000 раз. Кроме этих очевидных лидеров среди кошельков в исследование были включены Airbitz, BitPay и Bread, не достигшие полумиллиона скачиваний, но не смотря на это, аналитики Solar Security приняли их во внимание, из-за частых упоминаний о них на тематических форумах и различных изданиях.
Благодаря исследованию стало ясно, что и для IOS и для Android средние показатели защищенности неплохи для данной отрасли и примерно равны.
Но несмотря на это, стоит учитывать, что уровни защищенности могут отличаться даже у уодного и того же приложения, но под разными платформами. Так например, Mycelium на Android имеет гораздо больше известных уязвимостей, чем Mycelium для iOS, а BitPay и Copay, наоборот, желательно держать андроидах, а не на яблочном устройстве.
На Android самыми защищенными стали Luno, BitPay/Copay и Bread.
А лидерами среди iOS-приложений стали Bread, Mycelium и Blockchain.
Самый низкий совокупный результат показало приложение Xapo.
А самым лучшим по степени защищенности для обеих платформ оказался Bread.
● Самой распространенной уязвимостью выделяют небезопасную реализацию SSL.
Она позволяет реализовать атаку Man-in-the-Middle при помощи самоподписанного сертификата, который может быть предоставлен злоумышленник через эту уязвимость. Ее легко эксплуатировать , если жертва подключена к общей точке Wi-Fi.
● Второе место занимают слабые алгоритмы шифрования и хеширования.
Например, хеш-функции MD2, MD5, SHA1 обладают известными уязвимостями. Нахождение конфликтов для функций MD2 и MD5 не составляет больших проблем; даже для более надежного SHA1 данная задача решена. Если для хранения конфиденциальной информации используются эти функции , то сохранность их конфидениальности может быть нарушена.
При успешном использовании всех этих уязвимостей, существует угроза очернения кошельков и трафика идущего через приложения.
Для обычных пользователей существует угроза взлома их кошелька и кражи криптовалюты с их счета.
Аналитики Solar Security отмечают, что не все выявленные уязвимости одинаково легко эксплуатировать, однако, по мнению экспертов, приложения, оперирующие валютами, не могут относиться с пренебрежением к любым потенциальным проблемам. - сообщает xakep.ru
СтраницаВК (на ней анонсы статей)
ЗакрытаяГруппаВК (скоро начнет полноценную работу работу, прем всех по заявкам)