移动APP存重大安全隐患，用户数据未启用HTTPS加密

前言

过去的2015“双十一”，天猫最终以912.17亿元的交易额创下惊人纪录。值得注意的是，天猫移动端交易额为626亿元，占比达68.67%，远超PC端交易规模。这预示着电子商务的移动时代真正到来，移动端正式成为与PC端并驾齐驱的主流渠道。到目前为止，以天猫为代表的在线购物市场及以携程为代表的在线旅游市场，都出现移动端交易量快速增长的趋势。

移动互联网火热，APP使用量呈现爆发式增长，但移动APP安全却存在巨大的安全隐患。沃通CA针对一些热门APP检测的综合结果显示，90%以上的APP未使用HTTPS加密连接；已启用HTTPS连接的页面，98%不校验证书链和证书签发者，甚至不验证证书域名是否匹配。本文以主流在线购物和在线旅游APP的检测结果为例，从用户数据传输安全角度，探讨APP安全问题。

沃通CA互联网安全监测中心对主流在线购物和在线旅游APP进行检测发现：

(1)携程、艺龙APP均全站未启用HTTPS加密，超千万用户数据HTTP明文“裸奔”；
(2)天猫APP的HTTPS连接没有校验证书链和证书签发者，极容易被黑客劫持加密流量，窃取用户名密码以及银行卡号等机密信息；
(3)途牛、阿里旅行等在线旅游APP，HTTPS连接均没有校验证书链和证书签发者。

携程APP超千万用户数据明文“裸奔”

比达咨询2015年4月手机APP用户监测数据显示，携程APP月活跃用户数超1900万，艺龙APP月活跃用户近400万。但这两款APP都采用全站HTTP明文传输协议，这意味着，携程、艺龙APP上超两千万用户数据都以明文方式在互联网上“裸奔”，通过简单的代理抓包工具就可以捕获APP传输数据，其中可能包含用户的账号密码、身份证号、手机号、真实姓名、酒店预订记录、出行记录等隐私信息。

携程APP全站明文传输

艺龙APP传输数据，明文泄漏用户手机号

天猫APP的HTTPS不校验证书链和证书颁发者

阿里旗下的淘宝和天猫均在今年启用了全站HTTPS加密，天猫APP除了部分页面和CDN外，基本上实现了全站HTTPS加密访问。但经过测试发现，天猫APP的HTTPS根本不会校验证书链和证书颁发者，通过简单的DNS劫持和自签证书就能够获取到用户APP传输的加密数据。

从下面2张图可以看出，通过自签SSL证书和虚假服务器，对天猫APP进行ARP欺骗和DNS欺骗，就可以使天猫APP客户端与虚假服务器成功建立连接，并使用自签SSL证书加密传输数据。这个漏洞一旦被黑客利用，将对用户隐私和资金安全造成严重威胁。

天猫APP与虚假服务器成功建立连接

天猫APP与虚假服务器完成SSL握手

主流旅游APP仅部分页面启用HTTPS

途牛、阿里旅行等APP都只在部分页面启用HTTPS，其他页面均为明文传输；HTTPS均没有校验证书链和证书颁发者，同样可以通过欺骗手段，利用自签SSL证书和虚假服务器获取到用户APP传输的加密数据。

途牛APP与虚假服务器成功建立连接

阿里旅行APP与虚假服务器成功建立连接

超过90%以上APP未启用HTTPS加密

除了上述在线购物和在线旅游APP以外，沃通CA还对其他热门APP程序进行了检测，其中包括网银APP。综合结果显示，超过90%以上的APP未使用HTTPS加密连接；已启用HTTPS连接的页面中，98%不校验证书链和证书颁发者，有些甚至不验证证书域名是否匹配。

总结

SSL加密认证技术是互联网最基础的安全防护措施，所有APP开发者都应重视。苹果iOS9系统已经明确要求APP强制升级使用HTTPS协议，可见HTTP明文传输的安全问题已经异常严重。沃通CA呼吁：APP开发者一定要为APP服务器部署全球信任的SSL证书，通过HTTPS加密防止数据泄露，通过SSL认证防止中间人欺骗和劫持，保护用户数据传输安全。