บริษัทความปลอดภัย FireEye วิเคราะห์แอพยอดนิยม 1,000 ตัวแรกบน Google Play และพบว่าแอพประมาณ 68% มีปัญหาช่องโหว่ SSL บางประการ โดยปัญหาที่พบมี 3 รูปแบบใหญ่ๆ คือ

• แอพไม่เช็คความถูกต้องของใบรับรองดิจิทัลต้นสาย (certificate chain) ว่าเป็นผู้ออกใบรับรอง (certifying authority หรือ CA) ที่มีชื่อเสียงและเชื่อถือได้หรือไม่ จนอาจเป็นช่องโหว่ให้เกิดการโจมตีแบบปลอมตัวดักข้อมูลกลางทาง (man in the middle)
• แอพไม่ตรวจเช็คโดเมนเนมของเซิร์ฟเวอร์ปลายทาง ซึ่งกรณีนี้ต่อให้ใบรับรองถูกต้องและน่าเชื่อถือ แต่เว็บปลายทางเป็นเว็บปลอม ก็อาจโดนดักข้อมูลได้เช่นกัน
• แอพเพิกเฉยกับคำเตือน SSL error เมื่อแสดงผลเว็บเพจภายในแอพ ซึ่งอาจเป็นช่องโหว่ให้เกิดปัญหา JS-Binding-Over-HTTP

  FireEye พบว่าปัญหาหลายกรณีเกิดจากการเรียกใช้ไลบรารีดังๆ บางตัว เช่น ไลบรารีโฆษณาของ Flurry, ไลบรารีโปรโมทเกม Chartboost ซึ่งมีช่องโหว่ด้าน SSL บางอย่าง จากการทดสอบ FireEye สามารถดักข้อมูลของผู้ใช้แอพที่เรียกใช้งานไลบรารีเหล่านี้ได้ และแจ้งเตือนให้บริษัทเจ้าของไลบรารีเหล่านี้ทราบแล้ว

แอพตัวอื่นที่ FireEye พบปัญหาคือ Camera360 (อัพเดตแก้แล้วเมื่อเดือนกรกฎาคม) และแอพชื่อดังอีกตัวหนึ่งที่มียอดดาวน์โหลดเกิน 100 ล้านครั้ง แต่ FireEye ไม่สามารถติดต่อนักพัฒนาได้ จึงไม่เปิดเผยชื่อว่าเป็นแอพใด

FireEye ยังเตือนให้นักพัฒนาแอพใส่ใจกับแนวปฏิบัติที่เหมาะสมในการเชื่อมข้อมูลผ่าน SSL/TLS ให้ปลอดภัย รายละเอียดสามารถอ่านได้จาก คู่มือ HTTPS/SSL ของกูเกิล และเอกสารของ FireEye ตามลิงก์ต้นทาง

ที่มา - FireEye