前言
过去的2015“双十一”,天猫最终以912.17亿元的交易额创下惊人纪录。值得注意的是,天猫移动端交易额为626亿元,占比达68.67%,远超PC端交易规模。这预示着电子商务的移动时代真正到来,移动端正式成为与PC端并驾齐驱的主流渠道。到目前为止,以天猫为代表的在线购物市场及以携程为代表的在线旅游市场,都出现移动端交易量快速增长的趋势。
移动互联网火热,APP使用量呈现爆发式增长,但移动APP安全却存在巨大的安全隐患。沃通CA针对一些热门APP检测的综合结果显示,90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面,98%不校验证书链和证书签发者,甚至不验证证书域名是否匹配。本文以主流在线购物和在线旅游APP的检测结果为例,从用户数据传输安全角度,探讨APP安全问题。
沃通CA互联网安全监测中心对主流在线购物和在线旅游APP进行检测发现:
(1)携程、艺龙APP均全站未启用HTTPS加密,超千万用户数据HTTP明文“裸奔”;
(2)天猫APP的HTTPS连接没有校验证书链和证书签发者,极容易被黑客劫持加密流量,窃取用户名密码以及银行卡号等机密信息;
(3)途牛、阿里旅行等在线旅游APP,HTTPS连接均没有校验证书链和证书签发者。
携程APP超千万用户数据明文“裸奔”
比达咨询2015年4月手机APP用户监测数据显示,携程APP月活跃用户数超1900万,艺龙APP月活跃用户近400万。但这两款APP都采用全站HTTP明文传输协议,这意味着,携程、艺龙APP上超两千万用户数据都以明文方式在互联网上“裸奔”,通过简单的代理抓包工具就可以捕获APP传输数据,其中可能包含用户的账号密码、身份证号、手机号、真实姓名、酒店预订记录、出行记录等隐私信息。
携程APP全站明文传输
艺龙APP传输数据,明文泄漏用户手机号
天猫APP的HTTPS不校验证书链和证书颁发者
阿里旗下的淘宝和天猫均在今年启用了全站HTTPS加密,天猫APP除了部分页面和CDN外,基本上实现了全站HTTPS加密访问。但经过测试发现,天猫APP的HTTPS根本不会校验证书链和证书颁发者,通过简单的DNS劫持和自签证书就能够获取到用户APP传输的加密数据。
从下面2张图可以看出,通过自签SSL证书和虚假服务器,对天猫APP进行ARP欺骗和DNS欺骗,就可以使天猫APP客户端与虚假服务器成功建立连接,并使用自签SSL证书加密传输数据。这个漏洞一旦被黑客利用,将对用户隐私和资金安全造成严重威胁。
天猫APP与虚假服务器成功建立连接
天猫APP与虚假服务器完成SSL握手
主流旅游APP仅部分页面启用HTTPS
途牛、阿里旅行等APP都只在部分页面启用HTTPS,其他页面均为明文传输;HTTPS均没有校验证书链和证书颁发者,同样可以通过欺骗手段,利用自签SSL证书和虚假服务器获取到用户APP传输的加密数据。
途牛APP与虚假服务器成功建立连接
阿里旅行APP与虚假服务器成功建立连接
超过90%以上APP未启用HTTPS加密
除了上述在线购物和在线旅游APP以外,沃通CA还对其他热门APP程序进行了检测,其中包括网银APP。综合结果显示,超过90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面中,98%不校验证书链和证书颁发者,有些甚至不验证证书域名是否匹配。
总结
SSL加密认证技术是互联网最基础的安全防护措施,所有APP开发者都应重视。苹果iOS9系统已经明确要求APP强制升级使用HTTPS协议,可见HTTP明文传输的安全问题已经异常严重。沃通CA呼吁:APP开发者一定要为APP服务器部署全球信任的SSL证书,通过HTTPS加密防止数据泄露,通过SSL认证防止中间人欺骗和劫持,保护用户数据传输安全。
原文发布时间为:2016-01-05
本文作者:FreeBuf