沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

移动APP存重大安全隐患,用户数据未启用HTTPS加密

刚刚过去的2015″双十一”,天猫最终以912.17亿元的交易额创下惊人纪录。值得注意的是,天猫移动端交易额为626亿元,占比达68.67%,远超PC端交易规模。这预示着电子商务的移动时代真正到来,移动端正式成为与PC端并驾齐驱的主流渠道。到目前为止,以天猫为代表的在线购物市场及以携程为代表的在线旅游市场,都出现移动端交易量快速增长的趋势。 移动互联网火热,APP使用量呈现爆发式增长,但移动APP安全却存在巨大的安全隐患。沃通CA针对一些热门APP检测的综合结果显示,90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面,98%不校验证书链和证书签发者,甚至不验证证书域名是否匹配。本文以主流在线购物和在线旅游APP的检测结果为例,从用户数据传输安全角度,探讨APP安全问题。 沃通CA互联网安全监测中心对主流在线购物和在线旅游APP进行检测发现: Ÿ >携程、艺龙APP均全站未启用HTTPS加密,超千万用户数据HTTP明文”裸奔”; Ÿ >天猫APP的HTTPS连接没有校验证书链和证书签发者,极容易被黑客劫持加密流量,窃取用户名密码以及银行卡号等机密信息; Ÿ >途牛、阿里旅行等在线旅游APP,HTTPS连接均没有校验证书链和证书签发者。   携程APP超千万用户数据明文”裸奔” 比达咨询2015年4月手机APP用户监测数据显示,携程APP月活跃用户数超1900万,艺龙APP月活跃用户近400万,但这两款APP都采用全站HTTP明文传输协议。这意味着,携程、艺龙APP上超两千万用户数据都以明文方式在互联网上”裸奔”,通过简单的代理抓包工具就可以捕获APP传输数据,其中可能包含用户的账号密码、身份证号、手机号、真实姓名、酒店预订记录、出行记录等隐私信息。 携程APP全站明文传输 艺龙APP传输数据,明文泄漏用户手机号 天猫APP的HTTPS不校验证书链和证书颁发者 阿里旗下的淘宝和天猫均在今年启用了全站HTTPS加密,天猫APP除了部分页面和CDN外,基本上实现了全站HTTPS加密访问。但经过测试发现,天猫APP的HTTPS根本不会校验证书链和证书颁发者,通过简单的DNS劫持和自签证书就能够获取到用户APP传输的加密数据。 从下面2张图可以看出,通过自签SSL证书和虚假服务器,对天猫APP进行ARP欺骗和DNS欺骗,就可以使天猫APP客户端与虚假服务器成功建立连接,并使用自签SSL证书加密传输数据。这个漏洞一旦被黑客利用,将对用户隐私和资金安全造成严重威胁。 天猫APP与虚假服务器成功建立连接 天猫APP与虚假服务器完成SSL握手 主流旅游APP仅部分页面启用HTTPS 途牛、阿里旅行等APP都只在部分页面启用HTTPS,其他页面均为明文传输;HTTPS均没有校验证书链和证书颁发者,同样可以通过欺骗手段,利用自签SSL证书和虚假服务器获取到用户APP传输的加密数据。 途牛APP与虚假服务器成功建立连接 阿里旅行APP与虚假服务器成功建立连接 超过90%以上APP未启用HTTPS加密 除了上述在线购物和在线旅游APP以外,沃通CA还对其他热门APP程序进行了检测,其中包括网银APP。综合结果显示,超过90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面中,98%不校验证书链和证书颁发者,甚至不验证证书域名是否匹配。 总结 SSL加密认证技术是互联网最基础的安全防护措施,所有APP开发者都应重视。苹果iOS9系统已经明确要求APP强制升级使用HTTPS协议,可见HTTP明文传输的安全问题已经异常严重。沃通CA呼吁: APP开发者一定要为APP服务器部署全球信任的SSL证书,通过HTTPS加密防止数据泄露,通过SSL认证防止中间人欺骗和劫持。沃通CA提供免费SSL证书(freessl.wosign.com),让所有APP开发者零成本启用HTTPS加密;同时提供企业验证型OV SSL证书和扩展验证型EV SSL证书,为开发者提供更严格的身份认证及更高的安全防护。登录沃通官网(www.wosign.com)了解SSL证书,登录沃通数字证书商店(buy.wosign.com)在线申请。

山寨12306重出江湖 以假乱真骗购票用户

2016年春运火车票昨日开售,全民开启”春运抢票模式”。铁道部官方售票网站www.12306.cn也将迎来一场堪比”天猫双11″的”售票狂欢盛宴”。同时,由12306导演,全民主演的年度贺岁大片”一票难求”也即将在全国上演! 特别警告:假冒钓鱼网站www.12306.com伪装成铁道部售票官网重出江湖,网民谨防上当受骗,请认准铁道部【唯一】指定官方售票网站www.12306.cn。 假冒12306网站 官方12306网站 昨天是2016年春运抢票首日,小编跟大家一样,迫不及待的想要去铁道部售票网站了解一下春运售票情况。由于手快,在浏览器地址栏输入了www.12306.com,让我惊讶的是进入的这个网站和铁道部唯一指定官方售票网站www.12036.cn的页面一模一样。因为小编知道铁道部售票官网12306是.cn的后缀。难道铁老大高瞻远瞩,出大手笔把12306.com也收归麾下了?带着疑问的我就去查了一下这个域名的whois信息,信息显示这个12306.com域名的所有者为个人,服务器在国外,也没有经过SSL加密和服务器真实身份认证,基本断定这个12306.com是假冒钓鱼网站,如果网民不仔细看,根本发现不了这是一个假网站,很容易在上面进行注册、登陆、甚至是支付操作,存在个人身份信息泄露和账户资金被盗的风险。 温馨提示:铁道部官网www.12306.cn使用了自签名SSL证书加密数据,自签名SSL证书不被浏览器信任,并且存在风险(参考资料:为什么说”部署自签SSL证书非常不安全”),很多朋友在用浏览器访问的时候都会被提示有风险,不建议访问(参考资料:如何解决12306网站提示安全证书错误问题),比如火狐浏览器,如下图。搞的真的像假的,假的似真的,让很多网友真假难辨,吃尽苦头,错失购票良机。建议12306.cn网站更换成全球可信的国产服务器SSL证书。 火狐浏览器访问www.12306.cn提示证书不被信任 为了避免更多网友误入该钓鱼网站,导致信息泄露或者财产损失,借此文广而告之,同时给大家分享”如何识别假冒钓鱼网站?”,希望大家多多转发,让家人朋友不要上当受骗。   【如何甄别钓鱼网站防欺诈?】 1、网络购物、购票要通过正规网站,要认清域名 在熟悉的正规网站购物时,也莫掉以轻心,仔细查看网站主域名,不要被仿冒域名蒙蔽。通过搜索引擎、图片广告等方式进入网站,更要注意核实是否真实官网还是仿冒的钓鱼网站。常见的仿冒域名方式,以淘宝为例: 顶级域名迷惑法。如:”http://shop.76taobao.com” 域名分割符”.”迷惑法。如:”http://s.click-taobao.com” 相近字符迷惑法。如:http://www.tacbao.com 对于那些明确地知道自己要在哪个网站购物的用户来说,可直接在浏览器地址栏输入网站地址,以避免落入有毒链接陷阱中。   参考资料:假淘宝盗走女子6000元 认清EV国际认证防钓鱼 2、https才安全,无安全锁不支付 网购支付时,留意支付页面是https开头的加密页面还是http开头的明文页面,地址栏是否有安全锁标识。在无安全锁的http明文页面支付,信用卡账号密码直接裸奔! 对那些不知名网站或卖家提供的不太清楚的支付链接保持警惕,尽量减少因错误链接导致的账户安全威胁。 参考资料:https为何更加安全   3、绿色地址栏,安全购物的最佳保障 浏览器绿色地址栏,是国际标准组织CAB forum联合全球主流浏览器和CA机构,提出的基于PKI/CA技术的可信认证展示方式。网站呈现绿色地址栏,说明已通过了国际最高验证级别的EV国际认证,网站身份真实、传输数据高强度加密,该网站安全可信!网购、支付过程中,认准绿色地址栏更加安全放心,比如支付宝、网上银行等支付的时候浏览器地址栏都会显示绿色。   4、网络陷阱多,莫贪小便宜 小心不正规的网购比价网站,用”跳楼价””季末清仓”等噱头吸引用户点击,链接却指向钓鱼网站,用户防不胜防,一不小心就会中招。牢记天下没有免费的午餐,切莫因贪图一时便宜,造成更严重的经济损失。尤其是那些转发有奖,扫码有奖,抢红包等等充满诱惑性的链接,往往隐藏巨大的钓鱼陷阱。 参考资料:短信内容含钓鱼陷阱 点击链接近3万元被盗刷   5、免费WiFi有风险,且连且小心 设置钓鱼WiFi不仅简单易操作,而且成本极低,不是很懂电脑的人也能通过简单的设备和学习教程成为钓鱼黑客。一旦链接到钓鱼WiFi上,网民的一举一动均被黑客看的一清二楚,包括其手机型号、打开的应用名称、浏览过的网页、机主QQ号码、微信朋友圈照片、淘宝、微博账号等信息。如果进行网银登录或网上支付等操作时,你的网银APP未采用https加密传输,那网银账号密码就完全泄露了,甚至出现卡未离身却被盗刷的案例。 参考资料:315曝公共WiFi风险,使用SSL证书防泄密 文章来源:互联网