很多人的清晨都是從床頭拿起手機開始的:打開最喜歡的社交軟件,閱讀新聞,翻朋友圈,聽音樂,看視頻,檢查郵件,更新日歷狀態等等,而每個行為背后都對應了多款app。
目前,全球有21億人擁有智能手機,每年新上架的移動APP數量更是高達千萬款。調研數據顯示,25歲以上的成年人每天使用手機約264次,15-24歲的人約為每天387次,相當于每隔一分鐘就要碰一次智能手機。你或許覺得這組數據難以置信,但事實的確如此,移動app已經深入到我們的生活和工作中。
然而,我們高度依賴的移動app,卻并沒有想象中的那么安全。根據Gartner的預測,75%的移動app甚至沒有通過基本的安全測試,黑客傾向于利用移動app中已知的安全漏洞竊取敏感和機密信息。
更令人意想不到的是,騰訊安全中心在日常終端安全審計中發現,在Android平臺中使用https協議的app絕大多數存在安全漏洞,可以直接導致https通訊中的敏感信息泄漏甚至遠程代碼執行。
https原本是為了加密網絡通訊,避免敏感信息被第三方獲取而設計的,而如今這些采用了https協議的移動端app卻令https加密作用形同虛設,到底是什么原因呢?
https使用不當,讓APP遭遇安全風險
通過幾大安全公司的漏洞掃描器發現,很多Androida平臺中的APP都存在https使用不當的風險,主要體現在app沒有安全的使用google提供的API,只是簡單的調用https協議,并未對SSL證書有效性做驗證。
在google的官方文檔中,詳細給出了若干種Android平臺中使用https的方法,google的API會檢查APP應用https證書的合法性,而APP開發測試環境下的https證書,很多都是開發人員自己生成的SSL證書,基本上是無法通過google合法性檢查的。因此,絕大多數APP都采用了覆蓋google默認的證書檢查機制的方式來解決這個問題。
然而,在覆蓋默認的證書檢查機制后,絕大多數app卻沒有對SSL證書進行應有的安全性檢查,直接接受了所有異常的SSL證書,既不提醒用戶存在安全風險,也不終止危險的連接。
在攻擊者看來,這種操作漏洞簡直讓https形同虛設,可以輕易利用這個漏洞進行攻擊,最常見的攻擊方式是通過偽造wifi進行流量劫持,或者DNS請求劫持、路由鏈路劫持等,從而獲取APP用戶全部的https通信數據,包括密碼明文,聊天內容,信用卡號等隱私信息。
當某天我們在星巴克靜靜的坐了一下午,卻發現自己銀行卡中所有的錢都被無聲無息轉走了,原因很可能是由于某款APP沒有正確使用https而被攻擊者鉆了空子。
正確使用https,將安全風險扼殺于萌芽
事實上,https可以避免很多安全風險的發生,但前提是必須正確使用https,才能有效抵御中間人攻擊。
目前,網頁瀏覽器、移動端應用市場以及應用平臺,都會對這類https異常進行報警處理,并提醒用戶存在安全風險,相信大家都曾經見過這類提醒頁面:
這是因為無論在網頁端還是移動端,https都是業界公認的趨勢:谷歌Chrome瀏覽器最新版在采用http協議的網站旁標注“不安全”,其Android平臺默認所有APP使用https;蘋果safari瀏覽器對http頁面進行限制,并且強制要求iOS App使用https加密連接;微信小程序自2017年起僅支持https接口......
毋庸置疑,https在通訊加密方面發揮著無可替代的作用,但可惜的是,這些關于https的討論和倡導,并未得到業界同行應有的重視,即使在今天,國內的app依然大面積存在這類未正確使用https而引發的漏洞。
作為中國領先的電子認證服務提供商,天威誠信一直致力于為廣大用戶構建安全可信的網絡空間,推進https在我國的普及。由天威誠信簽發的SSL證書,已廣泛應用于工商銀行、建設銀行、騰訊、阿里巴巴等眾多企業的網站和APP。同時,為了更好地解決https大面積應用面臨的各種問題,諸如:管理不便、下單繁瑣、安裝故障無法檢測、證書報錯等,天威誠信推出了自主研發的CIM證書管理平臺,為構建安全的互聯網環境提供便捷的解決方案。
滴水石穿非一日之功,國內安全行業任重而道遠,在此天威誠信也呼吁業界同行,為了建立一個安全互信的網絡環境而共同努力。
京公網安備 11010502049343號