Po dokładnej analizie okazało się, że wiele aplikacji posiada luki w zabezpieczeniach związane z obsługą certyfikatów SSL. Błędy pozwalają osobie atakującej na użycie sfałszowanego certyfikatu SSL, dzięki czemu może przejąc dane logowania użytkowników. Wspomniane aplikacje pozwalają na logowanie się z użyciem kont społecznościowych takich jak Google, Microsoft, Facebook czy Twitter więc ryzyko jest jeszcze większe.
Twórcy aplikacji zostali poinformowali o błędach nawet kilka miesięcy temu jednak nie skłoniło to ich do wydania stosownych aktualizacji. Tylko jeden deweloper (Foxit MobilePDF) naprawił błąd znaleziony przez AppBugs. Poniżej znajdziecie listę aplikacji na Androida, w których lepiej nie korzystać z funkcji logowania:
- MeituPic
- Astro File Manager with Cloud
- gReader
- Windows Live Hotmail Push Mail
- JustUnFollow
- Brother iPrint & Scan
- Software Data Cable
- FriendCaster Chat
- PrintHand Mobile Print
- Phone for Google Voice & GTalk
- Instachat
- InstaMessage
- InstaG
- FoxIt MobilePDF
Źródło: VentureBeat