德國Leibniz、Philipps兩座大學(xué)的研究人員分析了1.35萬個Android免費App后發(fā)現(xiàn)，其中約8%，總計1047個App使用容易遭受中間人攻擊的SSL/TLS程序代碼。

具體的操作分析方法是研究人員設(shè)計一個分析軟件MalloDroid，用來攔截并分析App的http/https聯(lián)機(jī)請求，同時檢核其SSL憑證的有效性，結(jié)果發(fā)現(xiàn)測試的1.35萬個App中，有1047個App接受任何來源的憑證。因此，研究人員進(jìn)一步挑選其中一百個App，發(fā)現(xiàn)其中41個很容易遭受中間人攻擊。透過這41個App，他們可以取得存在手機(jī)中的數(shù)據(jù)，包含信用卡、銀行、Paypal、Facebook、Twitter、Google、雅虎、WindowsLive等各式賬號與密碼。

同時，研究人員還發(fā)現(xiàn)，利用假憑證能讓防病毒軟件誤判刪除特定軟件或完全失效，也可以從遠(yuǎn)程遙控讓程序加載惡意模塊。但該研究報告并未列出41款A(yù)pp的名稱，因為研究重點在于一般常用軟件處理用戶數(shù)據(jù)的保護(hù)程度，而非惡意軟件或漏洞。研究人員估計這41款A(yù)pp當(dāng)中有三款安裝量介于一千萬到五千萬，全部受影響的用戶可能介于395萬到1.85億。

據(jù)悉，研究人員使用網(wǎng)絡(luò)向754個用戶進(jìn)行調(diào)查，發(fā)現(xiàn)有一半的使用者不知道瀏覽器是否使用加密聯(lián)機(jī)，而忽略憑證警告的使用者更高達(dá)56%。

因此研究人員建議Android操作系統(tǒng)、在線軟件商店及開發(fā)人員都可以解決該問題，并計劃提供他們所研發(fā)的工具軟件MalloDroid讓用戶偵測是否面臨中間人攻擊的威脅，另外他們認(rèn)為必須提供更多資安教育與工具給開發(fā)人員。

據(jù)悉，SSL/TLS是因特網(wǎng)加密通訊方式的一種，但早在2002年就被資安專家MoxieMarlinspike判定不夠安全。