天威诚信 https使用不当会让APP遭遇安全风险

tuiguang

    通过几大安全公司的漏洞扫描器发现，很多Androida平台中的APP都存在https使用不当的风险，主要体现在app没有安全的使用google提供的API，只是简单的调用https协议，并未对SSL证书有效性做验证。天威诚信

    在google的官方文档中，详细给出了若干种Android平台中使用https的方法，google的API会检查APP应用https证书的合法性，而APP开发测试环境下的https证书，很多都是开发人员自己生成的SSL证书，基本上是无法通过google合法性检查的。因此，绝大多数APP都采用了覆盖google默认的证书检查机制的方式来解决这个问题。

    然而，在覆盖默认的证书检查机制后，绝大多数app却没有对SSL证书进行应有的安全性检查，直接接受了所有异常的SSL证书，既不提醒用户存在安全风险，也不终止危险的连接。北京数字证书认证中心

    在攻击者看来，这种操作漏洞简直让https形同虚设，可以轻易利用这个漏洞进行攻击，最常见的攻击方式是通过伪造wifi进行流量劫持，或者DNS请求劫持、路由链路劫持等，从而获取APP用户全部的https通信数据，包括密码明文，聊天内容，信用卡号等隐私信息。

    当某天我们在星巴克静静的坐了一下午，却发现自己银行卡中所有的钱都被无声无息转走了，原因很可能是由于某款APP没有正确使用https而被攻击者钻了空子。