移动终端的普及让人们的生活不再枯燥,各类应用程序带给人们的快速便捷也让使用者对此爱不释手。然而只要你稍加留意便会发现,由于应用程序导致的信息泄露、数据丢失等安全事件屡见不鲜。
近日,McAfee实验室在其官方博客上称,其研究人员发现很多应用程序对移动设备的行为进行跟踪,并将跟踪收集到的数据通过明文HTTP传输,发送到应用程序开发者的服务器。而这种做法极易导致个人信息以及企业数据被黑客截取,造成数据泄露。
本文中,McAfee实验室对Costco、微博和搜狗输入法三个应用进行了举例分析,并呼吁应用程序开发者在安全开发周期中修补这些漏洞。
Costco应用:赤裸裸的凭证
美国第二大零售商Costco应用程序就存在这个漏洞,安全研究人员测试发现其登录请求为明文HTTP请求。这说明了什么?当你使用手机连接到存在危险的公共无线网络进行网上购物时,黑客将会截取这些信息。
McAfee实验室表示经过对其他应用程序的测试发现,这种明文HTTP风险无处不在。下面,让我们通过微博和搜狗这两个应用再来看一下。
微博:社交媒体聊天容易被嗅探或欺骗
在中国,微博是类似于Twitter与Facebook的社交媒体平台,可以和朋友在此聊天。假设你在微博留言如下:
利用Wireshark捕获到向微博后台发送的数据如下:
攻击者可以捕获你的cookie,甚至可以通过中间人攻击改变你的职位信息。
你可能会问谁关心呢?这些职位信息在社交媒体到处都是。但是如果与你的朋友私聊呢?我们通过聊天窗口发布消息:
Wireshark再次捕获了没有加密的准确的文本,这儿没有隐私!
搜狗通过明文HTTP发送设备数据
搜狗是最流行的中文输入法编辑器,安装用户超过4亿。因其提示优化功能,用户可以不必输入完整的拼音就可以拼写出需要的文字。然而,McAfee实验室通过USB接口连接iPod后,发现Fiddler捕捉到以下信息:
乍一看前面的数据好像不是很多,但是它引出了一个问题:为什么一个语言编辑器会知道“用户连接了iPod5这个iOS设备,设备运行的是iOS 7.0,序列号是:650…,它是通过USB集线器连接:USB#ROOT_HUB20#48…”?
当用Android手机测试时,出现了相似的情况:
最后,McAfee实验室呼吁应用程序开发者能够在安全开发周期中修补这些漏洞。
【小编有话说】:数据泄露年年有,近年尤其多。下一个中招的会是谁?我们不得而知。我们所能做的就是建立健全安全防护意识,做好基础的漏洞防护。作为移动设备的用户,我们应该对正在使用的应用程序持怀疑态度。而作为这些应用的开发者们,应该尽可能在写这些应用程序的过程中尽量减少应用程序的安全漏洞,提高应用程序的安全性。此外,我们也提醒广大开发者:采用安全编码的做法,提高编写代码的质量,这对于阻止攻击是最有效的哦!
原文地址:https://blogs.mcafee.com/mcafee-labs/apps-sending-plain-http-put-personal-data-risk
