文章发表于:2020年01月12日 16:27:53

天威诚信 https使用不当会让APP遭遇安全风险

    通过几大安全公司的漏洞扫描器发现,很多Androida平台中的APP都存在https使用不当的风险,主要体现在app没有安全的使用google提供的API,只是简单的调用https协议,并未对SSL证书有效性做验证。天威诚信

    在google的官方文档中,详细给出了若干种Android平台中使用https的方法,google的API会检查APP应用https证书的合法性,而APP开发测试环境下的https证书,很多都是开发人员自己生成的SSL证书,基本上是无法通过google合法性检查的。因此,绝大多数APP都采用了覆盖google默认的证书检查机制的方式来解决这个问题。

    然而,在覆盖默认的证书检查机制后,绝大多数app却没有对SSL证书进行应有的安全性检查,直接接受了所有异常的SSL证书,既不提醒用户存在安全风险,也不终止危险的连接。北京数字证书认证中心

    在攻击者看来,这种操作漏洞简直让https形同虚设,可以轻易利用这个漏洞进行攻击,最常见的攻击方式是通过伪造wifi进行流量劫持,或者DNS请求劫持、路由链路劫持等,从而获取APP用户全部的https通信数据,包括密码明文,聊天内容,信用卡号等隐私信息。

    当某天我们在星巴克静静的坐了一下午,却发现自己银行卡中所有的钱都被无声无息转走了,原因很可能是由于某款APP没有正确使用https而被攻击者钻了空子。