Https使用不當(dāng),APP也會(huì)遭遇安全風(fēng)險(xiǎn)

1、 Https使用不當(dāng)，APP也會(huì)遭遇安全風(fēng)險(xiǎn) 很多人的清晨都是從床頭拿起手機(jī)開始的：打開最喜歡的社交軟件，閱讀新聞，翻朋友 圈，聽音樂，看視頻，檢查郵件，更新日歷狀態(tài)等等，而每個(gè)行為背后都對(duì)應(yīng)了多款app。 目前，全球有21億人擁有智能手機(jī)，每年新上架的移動(dòng)APP數(shù)量更是高達(dá)千萬款。 調(diào)研數(shù)據(jù)顯示，25歲以上的成年人每天使用手機(jī)約264次，15-24歲的人約為每天387次， 相當(dāng)于每隔一分鐘就要碰一次智能手機(jī)。你或許覺得這組數(shù)據(jù)難以置信，但事實(shí)的確如此， 移動(dòng)app已經(jīng)深入到我們的生活和工作中。 然而，我們高度依賴的移動(dòng) app，卻并沒有想象中的那么安全。根據(jù)Gartner的預(yù)測(cè)， 75 %的

2、移動(dòng)app甚至沒有通過基本的安全測(cè)試，黑客傾向于利用移動(dòng) app中已知的安全漏 洞竊取敏感和機(jī)密信息。 更令人意想不到的是，騰訊安全中心在日常終端安全審計(jì)中發(fā)現(xiàn)，在An droid 平臺(tái)中 使用https協(xié)議的app絕大多數(shù)存在安全漏洞，可以直接導(dǎo)致https通訊中的敏感信息泄 漏甚至遠(yuǎn)程代碼執(zhí)行。 https原本是為了加密網(wǎng)絡(luò)通訊，避免敏感信息被第三方獲取而設(shè)計(jì)的，而如今這些采 用了 https協(xié)議的移動(dòng)端app卻令https加密作用形同虛設(shè)，到底是什么原因呢？ https使用不當(dāng)，讓 APP遭遇安全風(fēng)險(xiǎn) 通過幾大安全公司的漏洞掃描器發(fā)現(xiàn)，很多Androida 平臺(tái)中的APP都存在https

3、使 用不當(dāng)?shù)娘L(fēng)險(xiǎn)，主要體現(xiàn)在app沒有安全的使用google提供的API，只是簡(jiǎn)單的調(diào)用https 協(xié)議，并未對(duì)SSL證書有效性做驗(yàn)證。 在google的官方文檔中，詳細(xì)給出了若干種An droid平臺(tái)中使用https的方法， google 的API會(huì)檢查APP應(yīng)用https證書的合法性，而 APP開發(fā)測(cè)試環(huán)境下的 https證 書，很多都是開發(fā)人員自己生成的SSL證書，基本上是無法通過 google合法性檢查的。因 此，絕大多數(shù)APP都采用了覆蓋google默認(rèn)的證書檢查機(jī)制的方式來解決這個(gè)問題。 然而，在覆蓋默認(rèn)的證書檢查機(jī)制后，絕大多數(shù)app卻沒有對(duì)SSL證書進(jìn)行應(yīng)有的安 全性檢查，直接

4、接受了所有異常的SSL證書，既不提醒用戶存在安全風(fēng)險(xiǎn)，也不終止危險(xiǎn) 的連接。 在攻擊者看來，這種操作漏洞簡(jiǎn)直讓 https形同虛設(shè)，可以輕易利用這個(gè)漏洞進(jìn)行攻擊, 最常見的攻擊方式是通過偽造wifi進(jìn)行流量劫持，或者 DNS請(qǐng)求劫持、路由鏈路劫持等, 從而獲取APP用戶全部的https通信數(shù)據(jù)，包括密碼明文，聊天內(nèi)容，信用卡號(hào)等隱私信 息。 當(dāng)某天我們?cè)谛前涂遂o靜的坐了一下午，卻發(fā)現(xiàn)自己銀行卡中所有的錢都被無聲無息轉(zhuǎn) 走了，原因很可能是由于某款A(yù)PP沒有正確使用https而被攻擊者鉆了空子。 正確使用https，將安全風(fēng)險(xiǎn)扼殺于萌芽 事實(shí)上，https可以避免很多安全風(fēng)險(xiǎn)的發(fā)生，但前提是必須正

5、確使用https，才能有 效抵御中間人攻擊。 目前，網(wǎng)頁瀏覽器、移動(dòng)端應(yīng)用市場(chǎng)以及應(yīng)用平臺(tái)，都會(huì)對(duì)這類https異常進(jìn)行報(bào)警處 理，并提醒用戶存在安全風(fēng)險(xiǎn)，相信大家都曾經(jīng)見過這類提醒頁面： 此網(wǎng)站的安全證書存在問題. it網(wǎng)站岀具的安全證書不是由壹信任的證書磁血 Si發(fā)的. 定全證書冋趣可能竪示試圖歌豪你SE戲糕f乍向脛務(wù)器發(fā)送的誑 K關(guān)閉此網(wǎng)頁（并且不要垂綾浦覽該網(wǎng)站. 哼M(jìn)iit處關(guān)閉養(yǎng)網(wǎng)頁. 嚼堆續(xù)瀏熒此網(wǎng)站（不16#）. 0詳細(xì)信息 這是因?yàn)闊o論在網(wǎng)頁端還是移動(dòng)端，https都是業(yè)界公認(rèn)的趨勢(shì)：谷歌Chrome瀏覽器 最新版在采用http協(xié)議的網(wǎng)站旁標(biāo)注“不安全”，其An droid平

6、臺(tái)默認(rèn)所有APP使用https ； 蘋果safari瀏覽器對(duì)http頁面進(jìn)行限制，并且強(qiáng)制要求iOS App使用https加密連接；微 信小程序自2017年起僅支持https接口 毋庸置疑，https在通訊加密方面發(fā)揮著無可替代的作用，但可惜的是，這些關(guān)于https 的討論和倡導(dǎo)，并未得到業(yè)界同行應(yīng)有的重視，即使在今天，國內(nèi)的app依然大面積存在 這類未正確使用https而引發(fā)的漏洞。 滴水石穿非一日之功，國內(nèi)安全行業(yè)任重而道遠(yuǎn)，在此天威誠信也呼吁業(yè)界同行，為了 建立一個(gè)安全互信的網(wǎng)絡(luò)環(huán)境而共同努力。 Whe n you are old and grey and full of sleep,

7、And no ddi ng by the fire, take dow n this book, And slowly read, and dream of the soft look Your eyes had once, and of their shadows deep; How many loved your mome nts of glad grace, And loved your beauty with love false or true, But one man loved the pilgrim soul in you, And loved the sorrows of y

8、our cha nging face; And bending dow n beside the glow ing bars, Murmur, a little sadly, how love fled And paced upon the mountains overhead And hid his face amid a crowd of stars. The furthest dista nee in the world Is not betwee n life and death But whe n I sta nd in front of you Yet you dont know

9、that I love you. The furthest dista nee in the world Is not whe n I sta nd in front of you Yet you cant see my love But whe n un doubtedly knowing the love from both Yet cannot be together. The furthest dista nee in the world Is not being apart while being in love But whe n I pla inly cannot resist the year ning Yet prete nding you have n ever bee n in my heart. The furthest dista