Door verkeerd gebruik van SSL zijn miljoenen Android-gebruikers eenvoudig af te luisteren en kunnen kwaadwillenden allerlei gevoelige gegevens onderscheppen, zo hebben onderzoekers ontdekt. De voornaamste manier om op het Android-platform datacommunicatie te beschermen is het gebruik van de Secure Sockets Layer (SSL) of Transport Layer Security (TLS) protocollen. Dit moet gebruikers onder andere tegen man-in-the-middle (MiTM)-aanvallen beschermen.

Onderzoekers van verschillende Duitse universiteiten wilden weten hoe goed Android-apps die vanaf Google Play zijn te downloaden, hun gebruikers tegen MiTM-aanvallen en aanvallen vanwege het fout gebruik van SSL beschermen.

In totaal werden 13.500 Android-apps onderzocht. 1074 apps bevatte specifieke SSL-code die alle certificaten of alle hostnames voor een certificaat accepteren en daardoor in potentie kwetsbaar voor MitM-aanvallen zijn.

Datadiefstal
100 apps werden handmatig gecontroleerd. Daarvan bleken er 41 vanwege SSL-fouten gebruikers aan MiTM-aanvallen bloot te stellen. Van de 41 kwetsbare apps was het mogelijk om inloggegevens voor American Express, Diners Club, Paypal, bankrekeningen, Facebook, Twitter, Google, Yahoo, Microsoft Live ID, Box, WordPress, remote control servers, willekeurige e-mailaccounts en IBM Sametime te onderscheppen.

Ook was het mogelijk om virusdefinities in een anti-virus app te injecteren, waardoor de mobiele virusscanner willekeurige apps als geïnfecteerd beschouwde of de app werd uitgeschakeld. Bij één app was het mogelijk om op afstand code te injecteren en uit te voeren.

Tussen de 39,5 en 185 miljoen gebruikers zouden de apps geïnstalleerd hebben, hoewel de onderzoekers denken dat het werkelijke aantal hoger ligt.