信息來源:FreeBuf
前言
過去的2015“雙十一”,天貓最終以912.17億元的交易額創(chuàng)下驚人紀(jì)錄。值得注意的是,天貓移動端交易額為626億元,占比達(dá)68.67%,遠(yuǎn)超PC端交易規(guī)模。這預(yù)示著電子商務(wù)的移動時代真正到來,移動端正式成為與PC端并駕齊驅(qū)的主流渠道。到目前為止,以天貓為代表的在線購物市場及以攜程為代表的在線旅游市場,都出現(xiàn)移動端交易量快速增長的趨勢。
移動互聯(lián)網(wǎng)火熱,APP使用量呈現(xiàn)爆發(fā)式增長,但移動APP安全卻存在巨大的安全隱患。沃通CA針對一些熱門APP檢測的綜合結(jié)果顯示,90%以上的APP未使用HTTPS加密連接;已啟用HTTPS連接的頁面,98%不校驗證書鏈和證書簽發(fā)者,甚至不驗證證書域名是否匹配。本文以主流在線購物和在線旅游APP的檢測結(jié)果為例,從用戶數(shù)據(jù)傳輸安全角度,探討APP安全問題。
沃通CA互聯(lián)網(wǎng)安全監(jiān)測中心對主流在線購物和在線旅游APP進(jìn)行檢測發(fā)現(xiàn):
(1)攜程、藝龍APP均全站未啟用HTTPS加密,超千萬用戶數(shù)據(jù)HTTP明文“裸奔”;
(2)天貓APP的HTTPS連接沒有校驗證書鏈和證書簽發(fā)者,極容易被黑客劫持加密流量,竊取用戶名密碼以及銀行卡號等機(jī)密信息;
(3)途牛、阿里旅行等在線旅游APP,HTTPS連接均沒有校驗證書鏈和證書簽發(fā)者。
攜程APP超千萬用戶數(shù)據(jù)明文“裸奔”
比達(dá)咨詢2015年4月手機(jī)APP用戶監(jiān)測數(shù)據(jù)顯示,攜程APP月活躍用戶數(shù)超1900萬,藝龍APP月活躍用戶近400萬。但這兩款A(yù)PP都采用全站HTTP明文傳輸協(xié)議,這意味著,攜程、藝龍APP上超兩千萬用戶數(shù)據(jù)都以明文方式在互聯(lián)網(wǎng)上“裸奔”,通過簡單的代理抓包工具就可以捕獲APP傳輸數(shù)據(jù),其中可能包含用戶的賬號密碼、身份證號、手機(jī)號、真實姓名、酒店預(yù)訂記錄、出行記錄等隱私信息。
攜程APP全站明文傳輸
藝龍APP傳輸數(shù)據(jù),明文泄漏用戶手機(jī)號
天貓APP的HTTPS不校驗證書鏈和證書頒發(fā)者
阿里旗下的淘寶和天貓均在今年啟用了全站HTTPS加密,天貓APP除了部分頁面和CDN外,基本上實現(xiàn)了全站HTTPS加密訪問。但經(jīng)過測試發(fā)現(xiàn),天貓APP的HTTPS根本不會校驗證書鏈和證書頒發(fā)者,通過簡單的DNS劫持和自簽證書就能夠獲取到用戶APP傳輸?shù)募用軘?shù)據(jù)。
從下面2張圖可以看出,通過自簽SSL證書和虛假服務(wù)器,對天貓APP進(jìn)行ARP欺騙和DNS欺騙,就可以使天貓APP客戶端與虛假服務(wù)器成功建立連接,并使用自簽SSL證書加密傳輸數(shù)據(jù)。這個漏洞一旦被黑客利用,將對用戶隱私和資金安全造成嚴(yán)重威脅。
天貓APP與虛假服務(wù)器成功建立連接
天貓APP與虛假服務(wù)器完成SSL握手
主流旅游APP僅部分頁面啟用HTTPS
途牛、阿里旅行等APP都只在部分頁面啟用HTTPS,其他頁面均為明文傳輸;HTTPS均沒有校驗證書鏈和證書頒發(fā)者,同樣可以通過欺騙手段,利用自簽SSL證書和虛假服務(wù)器獲取到用戶APP傳輸?shù)募用軘?shù)據(jù)。
途牛APP與虛假服務(wù)器成功建立連接
阿里旅行APP與虛假服務(wù)器成功建立連接
超過90%以上APP未啟用HTTPS加密
除了上述在線購物和在線旅游APP以外,沃通CA還對其他熱門APP程序進(jìn)行了檢測,其中包括網(wǎng)銀APP。綜合結(jié)果顯示,超過90%以上的APP未使用HTTPS加密連接;已啟用HTTPS連接的頁面中,98%不校驗證書鏈和證書頒發(fā)者,有些甚至不驗證證書域名是否匹配。
總結(jié)
SSL加密認(rèn)證技術(shù)是互聯(lián)網(wǎng)最基礎(chǔ)的安全防護(hù)措施,所有APP開發(fā)者都應(yīng)重視。蘋果iOS9系統(tǒng)已經(jīng)明確要求APP強(qiáng)制升級使用HTTPS協(xié)議,可見HTTP明文傳輸?shù)陌踩珕栴}已經(jīng)異常嚴(yán)重。沃通CA呼吁:APP開發(fā)者一定要為APP服務(wù)器部署全球信任的SSL證書,通過HTTPS加密防止數(shù)據(jù)泄露,通過SSL認(rèn)證防止中間人欺騙和劫持,保護(hù)用戶數(shù)據(jù)傳輸安全。
*本文由沃通WoSign依據(jù)真實檢測數(shù)據(jù)分析整理,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)