信息來(lái)源：FreeBuf 

前言

過(guò)去的2015“雙十一”，天貓最終以912.17億元的交易額創(chuàng)下驚人紀(jì)錄。值得注意的是，天貓移動(dòng)端交易額為626億元，占比達(dá)68.67%，遠(yuǎn)超PC端交易規(guī)模。這預(yù)示著電子商務(wù)的移動(dòng)時(shí)代真正到來(lái)，移動(dòng)端正式成為與PC端并駕齊驅(qū)的主流渠道。到目前為止，以天貓為代表的在線購(gòu)物市場(chǎng)及以攜程為代表的在線旅游市場(chǎng)，都出現(xiàn)移動(dòng)端交易量快速增長(zhǎng)的趨勢(shì)。

移動(dòng)互聯(lián)網(wǎng)火熱，APP使用量呈現(xiàn)爆發(fā)式增長(zhǎng)，但移動(dòng)APP安全卻存在巨大的安全隱患。沃通CA針對(duì)一些熱門APP檢測(cè)的綜合結(jié)果顯示，90%以上的APP未使用HTTPS加密連接；已啟用HTTPS連接的頁(yè)面，98%不校驗(yàn)證書(shū)鏈和證書(shū)簽發(fā)者，甚至不驗(yàn)證證書(shū)域名是否匹配。本文以主流在線購(gòu)物和在線旅游APP的檢測(cè)結(jié)果為例，從用戶數(shù)據(jù)傳輸安全角度，探討APP安全問(wèn)題。

沃通CA互聯(lián)網(wǎng)安全監(jiān)測(cè)中心對(duì)主流在線購(gòu)物和在線旅游APP進(jìn)行檢測(cè)發(fā)現(xiàn)：

(1)攜程、藝龍APP均全站未啟用HTTPS加密，超千萬(wàn)用戶數(shù)據(jù)HTTP明文“裸奔”；
(2)天貓APP的HTTPS連接沒(méi)有校驗(yàn)證書(shū)鏈和證書(shū)簽發(fā)者，極容易被黑客劫持加密流量，竊取用戶名密碼以及銀行卡號(hào)等機(jī)密信息；
(3)途牛、阿里旅行等在線旅游APP，HTTPS連接均沒(méi)有校驗(yàn)證書(shū)鏈和證書(shū)簽發(fā)者。

攜程APP超千萬(wàn)用戶數(shù)據(jù)明文“裸奔”

比達(dá)咨詢2015年4月手機(jī)APP用戶監(jiān)測(cè)數(shù)據(jù)顯示，攜程APP月活躍用戶數(shù)超1900萬(wàn)，藝龍APP月活躍用戶近400萬(wàn)。但這兩款A(yù)PP都采用全站HTTP明文傳輸協(xié)議，這意味著，攜程、藝龍APP上超兩千萬(wàn)用戶數(shù)據(jù)都以明文方式在互聯(lián)網(wǎng)上“裸奔”，通過(guò)簡(jiǎn)單的代理抓包工具就可以捕獲APP傳輸數(shù)據(jù)，其中可能包含用戶的賬號(hào)密碼、身份證號(hào)、手機(jī)號(hào)、真實(shí)姓名、酒店預(yù)訂記錄、出行記錄等隱私信息。

攜程APP全站明文傳輸

藝龍APP傳輸數(shù)據(jù)，明文泄漏用戶手機(jī)號(hào)

天貓APP的HTTPS不校驗(yàn)證書(shū)鏈和證書(shū)頒發(fā)者

阿里旗下的淘寶和天貓均在今年啟用了全站HTTPS加密，天貓APP除了部分頁(yè)面和CDN外，基本上實(shí)現(xiàn)了全站HTTPS加密訪問(wèn)。但經(jīng)過(guò)測(cè)試發(fā)現(xiàn)，天貓APP的HTTPS根本不會(huì)校驗(yàn)證書(shū)鏈和證書(shū)頒發(fā)者，通過(guò)簡(jiǎn)單的DNS劫持和自簽證書(shū)就能夠獲取到用戶APP傳輸?shù)募用軘?shù)據(jù)。

從下面2張圖可以看出，通過(guò)自簽SSL證書(shū)和虛假服務(wù)器，對(duì)天貓APP進(jìn)行ARP欺騙和DNS欺騙，就可以使天貓APP客戶端與虛假服務(wù)器成功建立連接，并使用自簽SSL證書(shū)加密傳輸數(shù)據(jù)。這個(gè)漏洞一旦被黑客利用，將對(duì)用戶隱私和資金安全造成嚴(yán)重威脅。

天貓APP與虛假服務(wù)器成功建立連接

天貓APP與虛假服務(wù)器完成SSL握手

主流旅游APP僅部分頁(yè)面啟用HTTPS

途牛、阿里旅行等APP都只在部分頁(yè)面啟用HTTPS，其他頁(yè)面均為明文傳輸；HTTPS均沒(méi)有校驗(yàn)證書(shū)鏈和證書(shū)頒發(fā)者，同樣可以通過(guò)欺騙手段，利用自簽SSL證書(shū)和虛假服務(wù)器獲取到用戶APP傳輸?shù)募用軘?shù)據(jù)。

途牛APP與虛假服務(wù)器成功建立連接

阿里旅行APP與虛假服務(wù)器成功建立連接

超過(guò)90%以上APP未啟用HTTPS加密

除了上述在線購(gòu)物和在線旅游APP以外，沃通CA還對(duì)其他熱門APP程序進(jìn)行了檢測(cè)，其中包括網(wǎng)銀APP。綜合結(jié)果顯示，超過(guò)90%以上的APP未使用HTTPS加密連接；已啟用HTTPS連接的頁(yè)面中，98%不校驗(yàn)證書(shū)鏈和證書(shū)頒發(fā)者，有些甚至不驗(yàn)證證書(shū)域名是否匹配。

總結(jié)

SSL加密認(rèn)證技術(shù)是互聯(lián)網(wǎng)最基礎(chǔ)的安全防護(hù)措施，所有APP開(kāi)發(fā)者都應(yīng)重視。蘋果iOS9系統(tǒng)已經(jīng)明確要求APP強(qiáng)制升級(jí)使用HTTPS協(xié)議，可見(jiàn)HTTP明文傳輸?shù)陌踩珕?wèn)題已經(jīng)異常嚴(yán)重。沃通CA呼吁：APP開(kāi)發(fā)者一定要為APP服務(wù)器部署全球信任的SSL證書(shū)，通過(guò)HTTPS加密防止數(shù)據(jù)泄露，通過(guò)SSL認(rèn)證防止中間人欺騙和劫持，保護(hù)用戶數(shù)據(jù)傳輸安全。

*本文由沃通WoSign依據(jù)真實(shí)檢測(cè)數(shù)據(jù)分析整理，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）