Особливості використання SSL сертифікатів в гаджетах і мобільних пристроях Україна
Логотип Веб Траст департамента адграфикс

Іконка переходу на SSL сертифікати для персональних комп

Сьогодні мобільні додатки стали невід'ємною частиною суспільства, настільки, що користувачі зовсім забули перевірити свою безпеку. Вони дуже довіряють компанії, що стоїть за додатком, тому вони не думають двічі, перш ніж вводити свою особисту і конфіденційну інформацію, таку як фонові дані, номери кредитних карт, адреси і т. д. Хоча у розробників додатків дійсно хороші наміри, немає ніякої гарантії, що вони вжили необхідних заходів безпеки. В результаті мобільні додатки швидко стали легкою мішенню для досвідчених хакерів, які володіють складними інструментами.

Кращий спосіб уникнути кібератак, які можуть бути потенційно небезпечними, - вибрати правильні параметри безпеки. Сюди входять сертифікати SSL з альтернативним іменем суб'єкта (SAN) і SSL-сертифікати з підстановочних знаками, а також знання того, як їх використовувати найбільш ефективно.

Ось деякі з найбільш важливих типів кібератак, пов'язаних з мобільними додатками:

  • Віруси і трояни
    Незважаючи на поширену думку, віруси і трояни прикріплюються до, здавалося б, законним програмами і можуть атакувати ваш мобільний телефон. Після завантаження вони можуть захопити ваш мобільний телефон і передати будь-яку важливу інформацію, яка може зберігатися або мати доступ до неї. Крім того, він також може відправляти текстові повідомлення преміум-класу, які зазвичай дуже дороги.
  • Шкідливе і шпигунське ПО
    Шкідливе ПО - це програма або сценарій, встановлений на вашому телефоні без вашої згоди. Він призначений для збору ваших даних з метою більш точного таргетингу за допомогою реклами. Що ще гірше, шалений ПО часто супроводжується шпигунським ПО, яке збирає персональні дані про вас на основі вашого використання Інтернету, а потім пересилає їх третім особам. Всі ці дані потім купуються і використовуються компаніями для розсилки реклами ваших продуктів або послуг. Перегляд великої кількості реклами, можливо, найменш турбує, коли справа стосується шпигунського ПЗ. Крім використання Інтернету, він може збирати інформацію про ваше місцезнаходження і ваших контактах. Значить, ризикуєте не тільки ви, але і люди, яких ви знаєте.
  • Додатки для фішингу та небажаного ПЗ
    Не так давно злочинці використовували для розсилки електронних листів, які, здавалося, виходили з надійних джерел, запитуючи особисту інформацію, таку як ваш пароль і багато іншого, просто в надії, що ви досить довіряєте, щоб відповісти. У цьому випадку справи йдуть трохи інакше. Фішингові програми були розроблені так, щоб виглядати як справжні додатки - менший екран мобільних телефонів ще більше ускладнює розрізнення підроблених і справжніх - які збирають вашу інформацію, таку як номери облікових записів і паролі, без вашої згоди. З іншого боку, небажані програми самі по собі не є повністю шкідливими. Але вони як і раніше можуть доставляти незручності, оскільки піддають користувачів ризику конфіденційності та інших порушень.
  • Попутні завантаження.
    Це шкідливі програми, які можуть бути встановлені на ваш пристрій без вашої згоди щоразу, коли ви відвідуєте не той веб-сайт або відкриваєте не той адресу електронної пошти. Якщо ви будете менш обережні, то ризикуєте стати мішенню і встановити шкідливий файл на свій мобільний телефон. Від шкідливого, рекламного або шпигунського ПЗ - або навіть від ботів, які використовують ваш телефон для виконання шкідливих завдань - все може дуже скоро піти погано.
  • Єксплойти браузера
    Єксплойти браузера використовують переваги невиявлених недоліків безпеки в вашому мобільному браузері. На додаток до цього ця загроза безпеки також працює з іншими допоміжними програмами, які працюють з вашим браузером - найбільш поширеним прикладом є програми читання PDF-файлів. Якщо ви виявите, що головна сторінка браузера вашого мобільного телефону або сторінка пошуку несподівано змінилися, ви можете сприйняти це як знак того, що ви стали жертвою експлойта браузера.

Помилки SSL-сертифіката на пристроях Android

Світ технологій стрімко зростає і його вплив можна побачити на тлі зростаючого числа користувачів настільних і мобільних пристроїв. В епоху цифрових технологій користувачі хочуть захистити інформацію свого веб-сайту і призначені для користувача дані на настільному комп'ютері, а також на мобільних пристроях. Сертифікат SSL є важливим аспектом розробки веб-сайту і обов'язковим активом онлайн-бізнесу, який допомагає захистити веб-сайт і призначені для користувача дані в Інтернеті. Рівень захищених сокетів (SSL), який технічно відомий як безпека транспортного рівня (TLS), є загальним будівельним блоком для шифрованого зв'язку між клієнтами і серверами. Можливо, що додаток може використовувати SSL неправильно, так що зловмисники можуть перехоплювати дані додатку по мережі.

У типовому сценарії використання SSL сервер налаштований з сертифікатом, що містить відкритий ключ, а також відповідний закритий ключ. Як частина рукостискання між клієнтом SSL і сервером, сервер підтверджує, що у нього є закритий ключ, підписуючи свій сертифікат криптографією з відкритим ключем. Якщо сертифікат не підписаний довіреним центром сертифікації, серверу довіряти не можна. Android в даний час містить понад 100 CA, які оновлюються в кожному випуску.

Операційні системи, такі як Android, зазвичай безпосередньо довіряють тільки кореневим ЦС, що залишає невеликий розрив між сертифікатом сервера, підписаним проміжним ЦС, і верифікатором сертифіката, який знає кореневий ЦС. Щоб вирішити цю проблему, сервер відправляє клієнту не тільки свій сертифікат під час рукостискання SSL, але і ланцюжок сертифікатів від ЦС сервера через будь-які проміжні сполуки, необхідні для досягнення довіреного кореневого ЦС. Є кілька можливих варіантів, коли SSL сертифікат створює проблеми в гаджетах і мобільних пристроях.

  • Відсутній проміжний сертифікат
  • Порушений правильний порядок проходження проміжного і власного сертифіката. ОС Android дуже жорстко ставиться до порядку сертифікатів.
  • Можливо CA, що видав сертифікат сервера, невідомий Андроїду
  • Сертифікат сервера був підписаний не ЦС, а самоподпісанний власником сертифікату
  • Використаний змішаний контент HTTP & HTTPS
  • Сертифікат знаходиться в чорному списку певних сертифікатів або навіть цілих ЦС

Можливі також локальні проблеми на пристроях користувачів

  • Використовується версія нижче Android 2.3, яка не підтримує SNI
  • Існує невелика ймовірність того, що поточний час і дата встановлені некоректно на пристрої Android
  • На пристрої збережено безліч файлів cookie з різних веб-сайтів, якщо довгий час не очищалася історія і файли кешу
  • Конфлікт між Антивірусом або іншим додатком безпеки
  • Є ймовірність, що використовувана вами інтернет-мережа так само може створити проблему
  • Ну і регулярне оновлення програмного забезпечення і браузера