首页 >> 最新文章

苍南毛蕨APP帐号登陆风险:中间人劫持(MITM)攻击


2019年08月27日

APP帐号登陆风险:中间人劫持(MITM)攻击

AppBugs公司研究人员经过分析发现,市面上有14款总计下载量高达8千万次的主流APP在处理社交账号登陆时存在安全风险,极易遭到中间人劫持(MITM)攻击。

安全风险应用清单

MeituPic美图秀秀:暴露用户的Facebook、百度、人人账号的密码,它的下载量约为1千万至5千万。

AstroFileManagerwithCloud文件管理器:暴露微软账号的密码。根据GooglePlay上的资料,Astro管理器的下载量约为5千万至1亿。

gReader新闻客户端:暴露用户的Facebook、Google、Twitter、微软、和Evernote账号,它的下载量达到1百万至5百万。

FoxItMobilePDF(福昕PDF阅读器)、WindowsLiveHotmailPushMail、JustUnFollow、 BrotheriPrint&Scan、SoftwareDataCable、FriendCasterChat、PrintHandMobilePrint、PhoneforGoogleVoice&GTalk、Instachat、InstaMessage、InstaG。

造成这类风险的主因:证书未校验

这些问题都是出在应用处理SSL证书的方式。正常情况下,Web服务器会用SSL证书让用户浏览器验证自己的身份,而上述应用存在的安全隐患使得攻击者可以通过使用伪造的SSL证书窃取用户的登录信息。AppBugs研究人员称,他在一至四个月前逐一联系了这些应用开发者们,但是几乎没有受到过回应。

AppBugs公司安全研究人员wang说:“到现在为止,只有一位开发者(FoxitMobilePDF)修复了这一问题。开发者们不采取行动保护用户账户,这很令人担心。”

应用使用不安全的方式传输用户的登录信息非常普遍。AndroidAPI11(Honeycomb)之前的版本中,WebViews(用于在应用内加载网页的组件)不会验证使用SSL证书的加密连接,这就会让用户在不知情的情况下遭到中间人攻击。而在之后的Android版本中,开发者们可以在使用WebViews时使用自己的客户端证书验证手段,从而问题得以解决。当然,开发者先得知道客户端证书验证过程是怎么进行的。

要应对这样的问题,用户应该在接入那些公共WIFI网络时不要使用这些应用中的登陆功能;此外,用户应该选择正规渠道下载应用,避免山寨和盗版应用引发的登陆风险问题。其次,下载应用前可以确认该应用是否加密过,加密应用一般能有效的解决安全风险问题

关键词百度排名推广

肉制品夹层锅

官网关键词优化推广

相关阅读
今日油桃收购价格如何5月23日油桃主产区市场收购价格簇芥

今日油桃收购价格如何?5月23日油桃主产区市场收购价格[导读]今日油桃多少...

2020-07-03
苹果施肥不当的危害曲梗崖摩

苹果施肥不当的危害一、连年施用过多的生理酸性肥料造成土壤酸化严重从而...

2020-07-03
连云港肉蛋价格走低六成蔬菜价格下滑蔬菜匙荠

连云港:肉蛋价格走低六成蔬菜价格下滑蔬菜气温回升,春天的到来让人心情...

2020-07-03
棚内湿度大抓紧防治喜湿性病害盘果绣球

棚内湿度大抓紧防治喜湿性病害随着棚内湿度增大,病害开始增多,一些喜湿...

2020-07-03
菊花已涨到了3元一枝清明经济显山水苗木花卉美丽栒子

菊花已涨到了3元一枝清明经济显山水苗木花卉清明节临近,伴随而来的“清...

2020-07-03
普定陇黑村250亩蔬菜上市畅销供不应求蔬菜丽水

普定陇黑村:250亩蔬菜上市畅销供不应求蔬菜时值六月,走进普定县定南街道...

2020-07-03
友情链接