频道栏目
首页 > 资讯 > 安全资讯 > 正文

APP帐号登陆风险:中间人劫持(MITM)攻击

2015-07-09 10:31:43           
收藏   我要投稿

 AppBugs公司研究人员经过分析发现,市面上有14款总计下载量高达8千万次的主流APP在处理社交账号登陆时存在安全风险,极易遭到中间人劫持(MITM)攻击。

安全风险应用清单

MeituPic美图秀秀:暴露用户的Facebook、百度、人人账号的密码,它的下载量约为1千万至5千万。

Astro File Manager with Cloud 文件管理器:暴露微软账号的密码。根据Google Play上的资料,Astro管理器的下载量约为5千万至1亿。

gReader新闻客户端:暴露用户的Facebook、Google、Twitter、微软、和Evernote账号,它的下载量达到1百万至5百万。

FoxIt MobilePDF (福昕PDF阅读器)、Windows Live Hotmail Push Mail、JustUnFollow、        Brother iPrint & Scan、Software Data Cable、FriendCaster Chat、PrintHand Mobile Print、Phone for Google Voice & GTalk、Instachat、InstaMessage、InstaG。

\

造成这类风险的主因:证书未校验

这些问题都是出在应用处理SSL证书的方式。正常情况下,Web服务器会用SSL证书让用户浏览器验证自己的身份,而上述应用存在的安全隐患使得攻击者可以通过使用伪造的SSL证书窃取用户的登录信息。AppBugs研究人员称,他在一至四个月前逐一联系了这些应用开发者们,但是几乎没有受到过回应。

AppBugs公司安全研究人员wang说:“到现在为止,只有一位开发者(Foxit MobilePDF)修复了这一问题。开发者们不采取行动保护用户账户,这很令人担心。”

应用使用不安全的方式传输用户的登录信息非常普遍。Android API 11 (Honeycomb)之前的版本中,WebViews(用于在应用内加载网页的组件)不会验证使用SSL证书的加密连接,这就会让用户在不知情的情况下遭到中间人攻击。而在之后的Android版本中,开发者们可以在使用WebViews时使用自己的客户端证书验证手段,从而问题得以解决。当然,开发者先得知道客户端证书验证过程是怎么进行的。

要应对这样的问题,用户应该在接入那些公共WIFI网络时不要使用这些应用中的登陆功能;此外,用户应该选择正规渠道下载应用,避免山寨和盗版应用引发的登陆风险问题。其次,下载应用前可以确认该应用是否加密过,加密应用一般能有效的解决安全风险问题

相关TAG标签 中间人 帐号 风险
上一篇:纽交所系统瘫痪交易停止超3小时 回应称非黑客侵袭
下一篇:为了钱,神秘黑客组织黑了苹果、微软、Facebook和Twitter
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站