您当前的位置: 首页 > 科技

APP帐号登陆风险中间人劫持MITM攻击

2018-11-06 10:11:11

APP帐号登陆风险:中间人劫持(MITM)攻击

AppBugs公司研究人员经过分析发现,市面上有14款总计下载量高达8千万次的主流APP在处理社交账号登陆时存在安全风险,极易遭到中间人劫持(MITM)攻击。

安全风险应用清单

MeituPic美图秀秀:暴露用户的Facebook、百度、人人账号的密码,它的下载量约为1千万至5千万。

AstroFileManagerwithCloud文件管理器:暴露微软账号的密码。根据GooglePlay上的资料,Astro管理器的下载量约为5千万至1亿。

gReader客户端:暴露用户的Facebook、Google、Twitter、微软、和Evernote账号,它的下载量达到1百万至5百万。

FoxItMobilePDF(福昕PDF阅读器)、WindowsLiveHotmailPushMail、JustUnFollow、 BrotheriPrintScan、SoftwareDataCable、FriendCasterChat、PrintHandMobilePrint、PhoneforGoogleVoiceGTalk、Instachat、InstaMessage、InstaG。

造成这类风险的主因:证书未校验

这些问题都是出在应用处理SSL证书的方式。正常情况下,Web服务器会用SSL证书让用户浏览器验证自己的身份,而上述应用存在的安全隐患使得攻击者可以通过使用伪造的SSL证书窃取用户的登录信息。AppBugs研究人员称,他在一至四个月前逐一联系了这些应用开发者们,但是几乎没有受到过回应。

AppBugs公司安全研究人员wang说:到现在为止,只有一位开发者(FoxitMobilePDF)修复了这一问题。开发者们不采取行动保护用户账户,这很令人担心。

应用使用不安全的方式传输用户的登录信息非常普遍。AndroidAPI11(Honeycomb)之前的版本中,WebViews(用于在应用内加载页的组件)不会验证使用SSL证书的加密连接,这就会让用户在不知情的情况下遭到中间人攻击。而在之后的Android版本中,开发者们可以在使用WebViews时使用自己的客户端证书验证手段,从而问题得以解决。当然,开发者先得知道客户端证书验证过程是怎么进行的。

要应对这样的问题,用户应该在接入那些公共WIFI络时不要使用这些应用中的登陆功能;此外,用户应该选择正规渠道下载应用,避免山寨和盗版应用引发的登陆风险问题。其次,下载应用前可以确认该应用是否加密过,加密应用一般能有效的解决安全风险问题

腊肉烘干机
除尘器厂家
体育运动木地板
推荐阅读
图文聚焦