AppBugs公司研究人员经过分析发现,市面上有14款总计下载量高达8千万次的主流APP在处理社交账号登陆时存在安全风险,极易遭到中间人劫持(MITM)攻击。
安全风险应用清单
MeituPic美图秀秀:暴露用户的Facebook、百度、人人账号的密码,它的下载量约为1千万至5千万。
Astro File Manager with Cloud 文件管理器:暴露微软账号的密码。根据Google Play上的资料,Astro管理器的下载量约为5千万至1亿。
gReader新闻客户端:暴露用户的Facebook、Google、Twitter、微软、和Evernote账号,它的下载量达到1百万至5百万。
FoxIt MobilePDF (福昕PDF阅读器)、Windows Live Hotmail Push Mail、JustUnFollow、Brother iPrint & Scan、Software Data Cable、FriendCaster Chat、PrintHand Mobile Print、Phone for Google Voice & GTalk、Instachat、InstaMessage、InstaG。
造成这类风险的主因:证书未校验
这些问题都是出在应用处理SSL证书的方式。正常情况下,Web服务器会用SSL证书让用户浏览器验证自己的身份,而上述应用存在的安全隐患使得攻击者可以通过使用伪造的SSL证书窃取用户的登录信息。AppBugs研究人员称,他在一至四个月前逐一联系了这些应用开发者们,但是几乎没有受到过回应。
AppBugs公司安全研究人员wang说:“到现在为止,只有一位开发者(Foxit MobilePDF)修复了这一问题。开发者们不采取行动保护用户账户,这很令人担心。”
应用使用不安全的方式传输用户的登录信息非常普遍。Android API 11 (Honeycomb)之前的版本中,WebViews(用于在应用内加载网页的组件)不会验证使用SSL证书的加密连接,这就会让用户在不知情的情况下遭到中间人攻击。而在之后的Android版本中,开发者们可以在使用WebViews时使用自己的客户端证书验证手段,从而问题得以解决。当然,开发者先得知道客户端证书验证过程是怎么进行的。
要应对这样的问题,用户应该在接入那些公共WIFI网络时不要使用这些应用中的登陆功能;此外,用户应该选择正规渠道下载应用,避免山寨和盗版应用引发的登陆风险问题。其次,下载应用前可以确认该应用是否加密过,加密应用一般能有效的解决安全风险问题。
下一篇: 安卓应用面临的安全问题有哪些