沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

移动APP存重大安全隐患,用户数据未启用HTTPS加密

刚刚过去的2015″双十一”,天猫最终以912.17亿元的交易额创下惊人纪录。值得注意的是,天猫移动端交易额为626亿元,占比达68.67%,远超PC端交易规模。这预示着电子商务的移动时代真正到来,移动端正式成为与PC端并驾齐驱的主流渠道。到目前为止,以天猫为代表的在线购物市场及以携程为代表的在线旅游市场,都出现移动端交易量快速增长的趋势。 移动互联网火热,APP使用量呈现爆发式增长,但移动APP安全却存在巨大的安全隐患。沃通CA针对一些热门APP检测的综合结果显示,90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面,98%不校验证书链和证书签发者,甚至不验证证书域名是否匹配。本文以主流在线购物和在线旅游APP的检测结果为例,从用户数据传输安全角度,探讨APP安全问题。 沃通CA互联网安全监测中心对主流在线购物和在线旅游APP进行检测发现: Ÿ >携程、艺龙APP均全站未启用HTTPS加密,超千万用户数据HTTP明文”裸奔”; Ÿ >天猫APP的HTTPS连接没有校验证书链和证书签发者,极容易被黑客劫持加密流量,窃取用户名密码以及银行卡号等机密信息; Ÿ >途牛、阿里旅行等在线旅游APP,HTTPS连接均没有校验证书链和证书签发者。   携程APP超千万用户数据明文”裸奔” 比达咨询2015年4月手机APP用户监测数据显示,携程APP月活跃用户数超1900万,艺龙APP月活跃用户近400万,但这两款APP都采用全站HTTP明文传输协议。这意味着,携程、艺龙APP上超两千万用户数据都以明文方式在互联网上”裸奔”,通过简单的代理抓包工具就可以捕获APP传输数据,其中可能包含用户的账号密码、身份证号、手机号、真实姓名、酒店预订记录、出行记录等隐私信息。 携程APP全站明文传输 艺龙APP传输数据,明文泄漏用户手机号 天猫APP的HTTPS不校验证书链和证书颁发者 阿里旗下的淘宝和天猫均在今年启用了全站HTTPS加密,天猫APP除了部分页面和CDN外,基本上实现了全站HTTPS加密访问。但经过测试发现,天猫APP的HTTPS根本不会校验证书链和证书颁发者,通过简单的DNS劫持和自签证书就能够获取到用户APP传输的加密数据。 从下面2张图可以看出,通过自签SSL证书和虚假服务器,对天猫APP进行ARP欺骗和DNS欺骗,就可以使天猫APP客户端与虚假服务器成功建立连接,并使用自签SSL证书加密传输数据。这个漏洞一旦被黑客利用,将对用户隐私和资金安全造成严重威胁。 天猫APP与虚假服务器成功建立连接 天猫APP与虚假服务器完成SSL握手 主流旅游APP仅部分页面启用HTTPS 途牛、阿里旅行等APP都只在部分页面启用HTTPS,其他页面均为明文传输;HTTPS均没有校验证书链和证书颁发者,同样可以通过欺骗手段,利用自签SSL证书和虚假服务器获取到用户APP传输的加密数据。 途牛APP与虚假服务器成功建立连接 阿里旅行APP与虚假服务器成功建立连接 超过90%以上APP未启用HTTPS加密 除了上述在线购物和在线旅游APP以外,沃通CA还对其他热门APP程序进行了检测,其中包括网银APP。综合结果显示,超过90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面中,98%不校验证书链和证书颁发者,甚至不验证证书域名是否匹配。 总结 SSL加密认证技术是互联网最基础的安全防护措施,所有APP开发者都应重视。苹果iOS9系统已经明确要求APP强制升级使用HTTPS协议,可见HTTP明文传输的安全问题已经异常严重。沃通CA呼吁: APP开发者一定要为APP服务器部署全球信任的SSL证书,通过HTTPS加密防止数据泄露,通过SSL认证防止中间人欺骗和劫持。沃通CA提供免费SSL证书(freessl.wosign.com),让所有APP开发者零成本启用HTTPS加密;同时提供企业验证型OV SSL证书和扩展验证型EV SSL证书,为开发者提供更严格的身份认证及更高的安全防护。登录沃通官网(www.wosign.com)了解SSL证书,登录沃通数字证书商店(buy.wosign.com)在线申请。

山寨12306重出江湖 以假乱真骗购票用户

2016年春运火车票昨日开售,全民开启”春运抢票模式”。铁道部官方售票网站www.12306.cn也将迎来一场堪比”天猫双11″的”售票狂欢盛宴”。同时,由12306导演,全民主演的年度贺岁大片”一票难求”也即将在全国上演! 特别警告:假冒钓鱼网站www.12306.com伪装成铁道部售票官网重出江湖,网民谨防上当受骗,请认准铁道部【唯一】指定官方售票网站www.12306.cn。 假冒12306网站 官方12306网站 昨天是2016年春运抢票首日,小编跟大家一样,迫不及待的想要去铁道部售票网站了解一下春运售票情况。由于手快,在浏览器地址栏输入了www.12306.com,让我惊讶的是进入的这个网站和铁道部唯一指定官方售票网站www.12036.cn的页面一模一样。因为小编知道铁道部售票官网12306是.cn的后缀。难道铁老大高瞻远瞩,出大手笔把12306.com也收归麾下了?带着疑问的我就去查了一下这个域名的whois信息,信息显示这个12306.com域名的所有者为个人,服务器在国外,也没有经过SSL加密和服务器真实身份认证,基本断定这个12306.com是假冒钓鱼网站,如果网民不仔细看,根本发现不了这是一个假网站,很容易在上面进行注册、登陆、甚至是支付操作,存在个人身份信息泄露和账户资金被盗的风险。 温馨提示:铁道部官网www.12306.cn使用了自签名SSL证书加密数据,自签名SSL证书不被浏览器信任,并且存在风险(参考资料:为什么说”部署自签SSL证书非常不安全”),很多朋友在用浏览器访问的时候都会被提示有风险,不建议访问(参考资料:如何解决12306网站提示安全证书错误问题),比如火狐浏览器,如下图。搞的真的像假的,假的似真的,让很多网友真假难辨,吃尽苦头,错失购票良机。建议12306.cn网站更换成全球可信的国产服务器SSL证书。 火狐浏览器访问www.12306.cn提示证书不被信任 为了避免更多网友误入该钓鱼网站,导致信息泄露或者财产损失,借此文广而告之,同时给大家分享”如何识别假冒钓鱼网站?”,希望大家多多转发,让家人朋友不要上当受骗。   【如何甄别钓鱼网站防欺诈?】 1、网络购物、购票要通过正规网站,要认清域名 在熟悉的正规网站购物时,也莫掉以轻心,仔细查看网站主域名,不要被仿冒域名蒙蔽。通过搜索引擎、图片广告等方式进入网站,更要注意核实是否真实官网还是仿冒的钓鱼网站。常见的仿冒域名方式,以淘宝为例: 顶级域名迷惑法。如:”http://shop.76taobao.com” 域名分割符”.”迷惑法。如:”http://s.click-taobao.com” 相近字符迷惑法。如:http://www.tacbao.com 对于那些明确地知道自己要在哪个网站购物的用户来说,可直接在浏览器地址栏输入网站地址,以避免落入有毒链接陷阱中。   参考资料:假淘宝盗走女子6000元 认清EV国际认证防钓鱼 2、https才安全,无安全锁不支付 网购支付时,留意支付页面是https开头的加密页面还是http开头的明文页面,地址栏是否有安全锁标识。在无安全锁的http明文页面支付,信用卡账号密码直接裸奔! 对那些不知名网站或卖家提供的不太清楚的支付链接保持警惕,尽量减少因错误链接导致的账户安全威胁。 参考资料:https为何更加安全   3、绿色地址栏,安全购物的最佳保障 浏览器绿色地址栏,是国际标准组织CAB forum联合全球主流浏览器和CA机构,提出的基于PKI/CA技术的可信认证展示方式。网站呈现绿色地址栏,说明已通过了国际最高验证级别的EV国际认证,网站身份真实、传输数据高强度加密,该网站安全可信!网购、支付过程中,认准绿色地址栏更加安全放心,比如支付宝、网上银行等支付的时候浏览器地址栏都会显示绿色。   4、网络陷阱多,莫贪小便宜 小心不正规的网购比价网站,用”跳楼价””季末清仓”等噱头吸引用户点击,链接却指向钓鱼网站,用户防不胜防,一不小心就会中招。牢记天下没有免费的午餐,切莫因贪图一时便宜,造成更严重的经济损失。尤其是那些转发有奖,扫码有奖,抢红包等等充满诱惑性的链接,往往隐藏巨大的钓鱼陷阱。 参考资料:短信内容含钓鱼陷阱 点击链接近3万元被盗刷   5、免费WiFi有风险,且连且小心 设置钓鱼WiFi不仅简单易操作,而且成本极低,不是很懂电脑的人也能通过简单的设备和学习教程成为钓鱼黑客。一旦链接到钓鱼WiFi上,网民的一举一动均被黑客看的一清二楚,包括其手机型号、打开的应用名称、浏览过的网页、机主QQ号码、微信朋友圈照片、淘宝、微博账号等信息。如果进行网银登录或网上支付等操作时,你的网银APP未采用https加密传输,那网银账号密码就完全泄露了,甚至出现卡未离身却被盗刷的案例。 参考资料:315曝公共WiFi风险,使用SSL证书防泄密 文章来源:互联网

沃通快速响应服务,获去哪儿网赞许

国内领先的在线旅行网站——去哪儿网,是沃通多年的老客户。作为在线旅游行业的领军企业,去哪儿网一直非常关注网站的信息安全建设,不仅自主建立了去哪儿安全应急响应中心,建立首个保障用户交易安全体系“担保通”,而且一直使用沃通的SSL证书保障用户隐私数据的传输安全。 去哪儿网的负责人称,“过去许多用户不敢使用在线网站消费,最重要的原因是没有安全保障。网络上充斥大量的钓鱼网站,让消费者无端蒙受损失。去哪儿网从消费者的根本利益出发,力求保障消费者的权益。”使用SSL证书后,很好的解决了消费者在线交易的安全和信任问题,网站通过https加密传输数据,浏览器显示安全锁标识,点击安全锁可以查看权威认证的网站真实身份,安全可信一目了然! 近日,因去哪儿网急需签发证书,需在当天拿到证书并成功安装,沃通客户服务部门快速响应,调动了相关部门资源,顺利为客户解决了问题。为此去哪儿网相关负责人特地致信感谢,表示“沃通客户服务人员,急客户所急,想客户所想,将客户第一体现在具体工作中,完美解决了我们的问题。” 用心服务好每一位客户,是沃通客户服务工作最基本的要求,而因此获得客户的赞许是沃通意料之外的事。客户的认可让沃通人更加积极的投入到自己的本职工作中,力求为客户提供更加满意、快捷的服务。

针对OpenSSL心血漏洞,沃通提供紧急免费替换支援

针对非常严峻的OpenSSL心血漏洞,我国安全专家和国外的安全专家都指出:此漏洞不仅能窃取网站的机密数据,而且还可以把服务器上的SSL证书私钥也偷走!这将是灾难性的结果!   为了帮忙所有已经部署了SSL证书的网站免除加密证书被窃的后患,沃通作为中国唯一一家能完全取代国外证书的有合法牌照的CA,在此承诺:无论您的网站部署的是那家CA签发的SSL证书,我们都免费提供10分钟就拿到证书的紧急替换服务!   您只需花2分钟注册就可以在线申请各种安全级别的证书,包括最高安全级别的显示绿色地址栏的EV证书,当然也有完全免费的一年有效期的全球信任的免费SSL证书。如果是收费证书,我们可以给予紧急情况一个月帐期优待,先拿证书救急,后付款。   在线证书申请网址:https://buy.wosign.com, 支援热线:0755-86008688   请点击 这里 了解沃通证书与国外品牌证书的优势对比!我们的吊销列表查询比国外证书快10倍以上。   特别说明:沃通(WoSign) SSL证书产品非常安全,OpenSSL漏洞与SSL证书产品质量无关。   沃通强烈建议所有部署了SSL证书的网站,先检查网站是否有此漏洞,再升级和更新证书。具体步骤如下: (1) 检测漏洞:http://wangzhan.360.cn/heartbleed/ (2) 升级版本:如果检测出有漏洞,可升级到的OpenSSL1.0.1g版本。如果用户不能立即升级,也可以使用-DOPENSSL_NO_HEARTBEATS重新编译。1.0.2的问题将在1.0.2-beta2版本得到修复。 更新SSL证书:您服务器上的SSL证书密钥极有可能已经被窃,为确保SSL证书私钥安全,建议申请重新颁发新的 SSL 证书(新密钥),安装在受到影响的服务器上,然后要求吊销可能被窃的原SSL证书。

针对OpenSSL漏洞即时响应,体现沃通本地化服务优势

自OpenSSL心血漏洞爆发以来,全球有四分之一的服务器受此漏洞影响,受影响的网民约达2亿人次。用户服务器的证书私钥、用户名、用户密码、用户邮箱等敏感信息均有严重泄露风险。据360网站卫士的分析表示,心血漏洞的辐射范围已经从开启HTTPS的网站延伸到了VPN系统和邮件系统。 该漏洞爆发后,沃通(WoSign)第一时间通知用户修复该漏洞,并提供技术支持,充分体现了沃通CA即时响应的本地化服务的优势。此外,沃通还承诺为所有部署了SSL证书的网站,提供SSL证书替换支援,免费颁发新的SSL证书,替换原SSL证书,给一些不能及时得到技术支持的用户救急,规避了用户没有及时替换新证书造成的网站数据泄露。 仅1周时间,沃通服务技术中心已经为约180位用户提供OpenSSL技术咨询服务,并为其中的35位用户提供了技术支持和紧急替换服务。该活动仍持续进行中,如有相关支持需求,立即拨打沃通支援热线0755-86008688,或访问https://buy.wosign.com获取支持。

携程再爆信息泄漏风险

继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后,“携程”又被爆有泄露用户银行卡信息风险。对此,携程方面称是公司在技术调试过程中出现短时漏洞。不过,业内专家则表示,并非低级技术错误这么简单,“存储了用户信用卡的CVV码,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。   漏洞报告平台乌云网22日公告指出携程安全支付日志可下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等),有可能被黑客所读取。昨日携程方面承认是公司在技术调试过程中出现短时漏洞,目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况,承诺未来倘若发生安全漏洞并引起用户损失,携程将给予全额赔付。   记者调查也发现,携程违规超范围存储用户信用卡信息,而为了“征得”用户同意,部分网站则是以“常用卡”为名征存储用户的信息。有业内人士则指出,并非是低级技术错误这么简单,携程系统一直就能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2等信息。该事件也将令携程股价承压。   据了解,乌云网指出携程安全支付日志可下载,导致包含持卡人姓名身份证、银行卡号、卡CVV码等大量用户银行卡信息泄露,还被爆某分站源代码包可直接下载,涉及数据库配置和支付接口信息。   在该漏洞被爆出后,昨日有携程用户表示,为了以防万一对信用卡做了挂失处理,部分用户则是直接选择更换了卡片。携程方面表示,漏洞发现人做了测试下载,内容含有少量加密卡号信息,共涉及93名存在潜在风险的用户,目前已经全部删除。公司客服昨日开始通知用户更换信用卡。   携程方面承认,在技术调试过程中出现了短时漏洞,该漏洞受影响的用户为近期的部分交易客户,但经过排查没有出现恶意下载有关数据的情况。有分析指出,系统漏洞发生在21日和22日,在这两日使用信用卡支付的消费者可能存在风险。   事件发生后携程已经和各大银行联系核实,目前还没有出现用户信用卡被盗刷的情况。   “我们正在联合携程和各商业银行共同研究进一步解决措施。”银联资深风险专家王宇表示。   卡CVV码,是印在信用卡卡片上的一组检查码,用来验证信用卡,根据不同类型的卡而印于卡的正面或背面,对于银联组织的银联标准卡使用的称为CVN2。   质疑一:   并非低级技术   错误这么简单   对携程的解释,原Google技术总监胡宁认为,用户信用卡信息泄露并非犯低级技术错误这么简单,敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理,这都是常识。   乌云方面透露称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。   有业内人士表示,问题是出在他们想把银行发出的验证信息都直接保存到本地。胡宁认为,根据事故报告,携程可能并未故意存储CVV信息,但其数据传输为明文,且线上竟长时间打开调试功能,导致系统日志中亦为明文,又未及时清理,所存储的服务器还有安全漏洞,一步错,步步错。   质疑二:   超范围保留用户信用卡信息   有业内人士爆料称,在该漏洞爆出前携程系统里就已经能看到用户信息,虽然屏蔽了卡号却显示有效期和CVN2,“银联相关标准严格要求商户系统不得以任何方式存储这些银联卡片敏感信息,有了这些数据,可以轻易伪造在线支付交易,客户敏感信息和交易安全从何保证”。   对此,昨日携程方面回应称,公司对CVV的处理符合行规,与国内外主流电商网站相符,所留存的用户支付信息是经用户授权后保存的,利于用户日后的支付便捷,如果用户没有授权,携程将不予保存。   根据中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》,各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。由此可见,携程日志中存储的信息明显超过该标准的允许范围。汽车之家创始人李想则表示,“存储了用户信用卡的CVV,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”。     质疑三:   以“常用卡”的名义存储用户信息   昨日,一家在线旅游网站人士表示,不少网站都会让用户勾选保留常用卡信息,消费者初次使用的时候需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息,然后提交支付,但第二次使用这张信用卡时,只需提供卡号后四位及CVV2码就会完成这次支付操作,这也变相证明了是在本地存储了用户的相关信用卡的信息。   记者登录携程也发现,在用户选择银行卡支付后,会提示用户是否保存至常用信用卡以便下次方便支付,但携程并未提示会记录信用卡的相关信息。   有业内人士表示,知道了CVV码和信用卡卡号就差不多能进行离线支付,泄露后风险很大,而且这种操作也会被银行视作是持卡人本人操作,部分盗取信息的人也可以用来注册购买其他产品服务。     多家银行表示   免费补办新卡   昨日,记者以顾客身份咨询多家银行的客服热线获悉,因携程事件而需要更换卡片的用户,多家银行均免费补办新卡。   招行客服人员表示:“如果是因为担心携程支付日志泄露的,我们可以免费补办卡。”据了解,该行如果办理卡片挂失补办信用卡的,收费是60元;如果是损坏补办的,收费是15元。该客服还表示,根据携程公布,目前有可能受影响的是3月21日与3月22日两天有交易的,“如果不是这两天消费的,是不用担心的,不会受影响。”客服说。   建行的客服人员也表示,如果是因为担心携程漏洞的,可以免费补寄新卡。   某银行相关负责人告诉记者,“此次信息泄漏是电商支付系统问题,涉事消费者最好、最安全的办法就是更换新卡。”   目前,银行业尚未发现用户信用卡被盗刷的情况。   消费提醒   昨日多家银行客服建议消费者可以考虑换卡或者冻结,近日在携程上使用信用卡交易过的有风险。部分消费者不愿意更换信用卡,应尽快修改相关银行卡密码等信息,出现异常应尽快联系银行、公司的官方客服电话。也应该设置网银单笔消费额度,开通短信提醒等以降低风险。用户信息被泄露后除了对财产安全造成影响外,消费者还需提防相关的诈骗短信。

OpenSSL高危漏洞,敬请SSL证书用户及时修复!

日前Heartbleed官网(http://heartbleed.com/)发布了关于CVE-2014-0160 漏洞的详细信息,这是关于 OpenSSL“心脏出血”漏洞导致信息泄漏的安全问题。该漏洞可以让互联网上的任何人读取受保护的系统内存,导致用于识别服务提供者和加密数据的密钥、用户名密码以及实际内容泄露。这允许攻击者窃听通讯,直接从服务提供者和用户窃取数据,并可以模拟服务提供者和用户。只有1.0.1和1.0.2-beta版本的OpenSSL受到影响,包括1.0.1f和1.0.2-beta1。 目前该问题已经有了解决的方法,受影响的用户可升级到的OpenSSL1.0.1g版本。如果用户不能立即升级,也可以使用-DOPENSSL_NO_HEARTBEATS重新编译OpenSSL的。1.0.2的问题将在1.0.2-beta2版本得到修复。 请SSL证书用户根据以上建议,尽快修复该漏洞。   OpenSSL漏洞检查工具: http://filippo.io/Heartbleed/ http://wangzhan.360.cn/heartbleed/  

阿里53.7亿港元投资银泰布局O2O

“周一见”让网民兴奋不已,但当娱乐圈最大爆点在凌晨失望引爆后,两家浙商阿里巴巴和银泰商业于昨天一大早宣布联手的消息,成功抢到头条——阿里以53.7亿港元入股银泰,交易完成后将获得后者9.9%的股份和37.1亿港元的可转换债券。据悉,双方约定在未来3年内,阿里可将可转换债券转换为银泰商业的普通股股份,使阿里最终持股银泰商业不低于25%。     就此,“浙商哥俩好”的马云和沈国军正式成了一家人,并勾画出一幅全国百货零售业O2O(从线上到线下)的完美蓝图。   对此,银泰集团CEO陈晓东给出了一个形象的比喻,“现在线上试衣服,把号码抄下来再去网上下单,整个过程是把线下和线上割裂开来。今后,你试完衣服,拿起手机,去扫一下上面的码,直接可以网上比价,甚至可以完成支付。哪怕离开商场,你还能在回家途中完成交易,商场则通过物流体系,把包裹送到你家。”在陈晓东看来,如此便捷的物流速度是现在不可想象的,“可能在你看完电影,喝完咖啡回到家之前就到了。”    商场选衣服,手机完成支付,价格有优惠,物流公司负责配送……拿着大包小包逛街的日子将一去不复返。在所有电商都寻求向下走的时候,阿里选择和银泰合作,是电商和传统零售的强强联合,对其他电商走向线下、其他传统零售做电商都有借鉴意义。       无独有偶,寻求线上线下双融合的还有京东,日前,京东集团也宣布与上海、北京、广州、太原、哈尔滨等15座城市的上万家便利店进行O2O合作。京东方面表示,合作启动后,消费者通过京东平台上便利店的官网,借助LBS定位,在其旗下所有门店中找寻最近的店面进行购物。   业内人士借着“周一见”长微博中的热词给这次合作降温:线上虽易,线下不易,且行且珍惜。      随着电商、网上支付、移动支付的应用深入,这种模式如何保证用户的隐私信息安全,如何保证移动支付安全,日后将成为电子商务不可逾越的难题。引入PKI技术为电商O2O构建安全和信任体系,也是沃通CA电子认证机构需要推动的解决方案。