freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美图秀秀、gReader、福昕PDF阅读器在列:14款Android应用易遭中间人攻击 金币
2015-06-30 10:45:26

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

AppBugs公司研究人员经过分析发现,市面上有14款总计下载量高达8千万次的流行应用APP在处理社交账号登陆时存在安全风险,极易遭到中间人劫持(MITM)攻击。

问题应用清单

MeituPic 美图秀秀:暴露用户的Facebook、百度、人人账号的密码,它的下载量约为1千万至5千万。

Astro File Manager with Cloud 文件管理器:暴露微软账号的密码。根据Google Play上的资料,Astro管理器的下载量约为5千万至1亿。    

gReader新闻客户端:暴露用户的Facebook、Google、Twitter、微软、和Evernote账号,它的下载量达到1百万至5百万。 

FoxIt MobilePDF (福昕PDF阅读器)   

Windows Live Hotmail Push Mail

JustUnFollow

Brother iPrint & Scan

Software Data Cable

FriendCaster Chat

PrintHand Mobile Print

Phone for Google Voice & GTalk

Instachat

InstaMessage

InstaG

证书未校验

这些问题都是出在应用处理SSL证书的方式。正常情况下,Web服务器会用SSL证书让用户浏览器验证自己的身份,而上述应用存在的安全隐患使得攻击者可以通过使用伪造的SSL证书窃取用户的登录信息。AppBugs研究人员称,他在一至四个月前逐一联系了这些应用开发者们,但是几乎没有受到过回应。

AppBugs公司安全研究人员wang说:

“到现在为止,只有一位开发者(Foxit MobilePDF)修复了这一问题。开发者们不采取行动保护用户账户,这很令人担心。”

应用使用不安全的方式传输用户的登录信息非常普遍。Android API 11 (Honeycomb)之前的版本中,WebViews(用于在应用内加载网页的组件)不会验证使用SSL证书的加密连接,这就会让用户在不知情的情况下遭到中间人攻击。而在之后的Android版本中,开发者们可以在使用WebViews时使用自己的客户端证书验证手段,从而问题得以解决。

当然,开发者先得知道客户端证书验证过程是怎么进行的。

安全建议

要应对这样的问题,用户应该在接入那些公共Wifi网络时不要使用这些应用中的登陆功能。

*参考来源:VentureBeat,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑