Jak minimalizovat riziko podvrhnutí a stažení falešné aplikace?
Tenhle problém se nám pořád vrací. A na první pohled se nabízí celkem jednoduché řešení.
Umístit binárku na web se snadno zapamatovatelnou adresou a dostupnou přes HTTPS. Na web pak dát certifikát od důvěryhodné certifikační autority a binárku elektronicky podepsat. A to je vše přátelé. Opravdu?
Na Androidu si stáhnou aplikaci z GooglePlay na iOS z AppStore a na Windows z Microsoft Store? No, to jistě můžou, ale odkud si stáhnout desktopovou aplikaci? Ze stránek výrobce. Jistě, ale které to jsou ty stránky výrobce? Že nevědí? No, tak to potom mají tak trochu problém.
Jakmile se nějaká aplikace stane populární a vzroste poptávka, tak to samé může udělat i útočník a vězte, že vždy se najde nějaký vykuk, co si založí doménu stejného jména a pokud již existuje, tak na jiné doméně prvního řádu a pak na ni tuto aplikaci umístí.
A uživatel aplikace bohužel nemá jak zjistit, zda se nachází na té správné doméně a že stahuje tu správnou binárku. Tu útočník může rovněž opatřit certifikátem od důvěryhodné certifikační autority a binárku, světe div se, i podepsat! Následně pak útočník zapracuje na SEO anebo si zaplatí reklamu ve výsledcích vyhledávání a může se v pohodě dostat i před pravou stránku.
Je tomu tak proto, že uživatel zpravidla jen zná jméno aplikace, ale méně často už osobu nebo firmu, která danou aplikaci vyvinula a už vůbec netuší, jakým distribučním kanálem, se daná firma rozhodla aplikaci nabízet, a to je kámen úrazu. Prostě jen do Google nebo Seznamu zadá jméno aplikace a klikne na první výsledek, který se mu objeví.
A to už vůbec nemluvím o tom, že se najdou i tací, co se snaží stáhnout aplikaci, za kterou se normálně musí platit odkudsi z hlubin internetu a pak naříkají, když se jim zaviruje počítač.
Otázka však je, co může pro snížení tohoto rizika udělat distributor aplikace a co uživatel. Máte nějaký nápad?
K článku “Jak minimalizovat riziko podvrhnutí a stažení falešné aplikace?” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Zde máte konkrétní příklad útoku: https://krebsonsecurity.com/2020/06/privnotes-com-is-phishing-bitcoin-from-users-of-private-messaging-service-privnote-com/#more-51956