刚刚过去的2015"双十一",天猫最终以912.17亿元的交易额创下惊人纪录。值得注意的是,天猫移动端交易额为626亿元,占比达68.67%,远超PC端交易规模。这预示着电子商务的移动时代真正到来,移动端正式成为与PC端并驾齐驱的主流渠道。到目前为止,以天猫为代表的在线购物市场及以携程为代表的在线旅游市场,都出现移动端交易量快速增长的趋势。
移动互联网火热,APP使用量呈现爆发式增长,但移动APP安全却存在巨大的安全隐患。沃通CA针对一些热门APP检测的综合结果显示,90%以上的APP未使用安全问题。
沃通CA互联网安全监测中心对主流在线购物和在线旅游APP进行检测发现:
>携程、艺龙APP均全站未启用明文"裸奔";
>天猫APP的连接没有校验证书链和证书签发者,极容易被黑客劫持加密流量,窃取用户名密码以及银行卡号等机密信息;
>途牛、阿里旅行等在线旅游APP,连接均没有校验证书链和证书签发者。
携程APP超千万用户数据明文"裸奔"
比达咨询2015年4月手机APP用户监测数据显示,携程APP月活跃用户数超1900万,艺龙APP月活跃用户近400万,但这两款APP都采用全站传输数据,其中可能包含用户的账号密码、身份证号、手机号、真实姓名、酒店预订记录、出行记录等隐私信息。
携程APP全站明文传输
艺龙APP传输数据,明文泄漏用户手机号
天猫APP的不校验证书链和证书颁发者
阿里旗下的淘宝和天猫均在今年启用了全站传输的加密数据。
从下面2张图可以看出,通过自签SSL证书和虚假服务器,对天猫APP进行ARP欺骗和DNS欺骗,就可以使天猫APP客户端与虚假服务器成功建立连接,并使用自签SSL证书加密传输数据。这个漏洞一旦被黑客利用,将对用户隐私和资金安全造成严重威胁。
天猫APP与虚假服务器成功建立连接
天猫APP与虚假服务器完成SSL握手
主流旅游APP仅部分页面启用
途牛、阿里旅行等APP都只在部分页面启用传输的加密数据。
途牛APP与虚假服务器成功建立连接
阿里旅行APP与虚假服务器成功建立连接
超过90%以上APP未启用加密
除了上述在线购物和在线旅游APP以外,沃通CA还对其他热门APP程序进行了检测,其中包括网银APP。综合结果显示,超过90%以上的APP未使用%不校验证书链和证书颁发者,甚至不验证证书域名是否匹配。
总结
SSL加密认证技术是互联网最基础的安全防护措施,所有APP开发者都应重视。苹果iOS9系统已经明确要求APP强制升级使用)在线申请。
原文地址:
