小心了!APP通过明文HTTP传输数据易致信息泄露

移动终端的普及让人们的生活不再枯燥,各类应用程序带给人们的快速便捷也让使用者对此爱不释手。然而只要你稍加留意便会发现,由于应用程序导致的信息泄露、数据丢失等安全事件屡见不鲜。

创新互联公司专业为企业提供迪庆州网站建设、迪庆州做网站、迪庆州网站设计、迪庆州网站制作等企业网站建设、网页设计与制作、迪庆州企业网站模板建站服务,10多年迪庆州做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。

近日,McAfee实验室在其官方博客上称,其研究人员发现很多应用程序对移动设备的行为进行跟踪,并将跟踪收集到的数据通过明文HTTP传输,发送到应用程序开发者的服务器。而这种做法极易导致个人信息以及企业数据被黑客截取,造成数据泄露。

本文中,McAfee实验室对Costco、微博和搜狗输入法三个应用进行了举例分析,并呼吁应用程序开发者在安全开发周期中修补这些漏洞。

Costco应用:赤裸裸的凭证

美国第二大零售商Costco应用程序就存在这个漏洞,安全研究人员测试发现其登录请求为明文HTTP请求。这说明了什么?当你使用手机连接到存在危险的公共无线网络进行网上购物时,黑客将会截取这些信息。

McAfee实验室表示经过对其他应用程序的测试发现,这种明文HTTP风险无处不在。下面,让我们通过微博和搜狗这两个应用再来看一下。

微博:社交媒体聊天容易被嗅探或欺骗

在中国,微博是类似于Twitter与Facebook的社交媒体平台,可以和朋友在此聊天。假设你在微博留言如下:

利用Wireshark捕获到向微博后台发送的数据如下:

攻击者可以捕获你的cookie,甚至可以通过中间人攻击改变你的职位信息。

你可能会问谁关心呢?这些职位信息在社交媒体到处都是。但是如果与你的朋友私聊呢?我们通过聊天窗口发布消息:

Wireshark再次捕获了没有加密的准确的文本,这儿没有隐私!

搜狗通过明文HTTP发送设备数据

搜狗是最流行的中文输入法编辑器,安装用户超过4亿。因其提示优化功能,用户可以不必输入完整的拼音就可以拼写出需要的文字。然而,McAfee实验室通过USB接口连接iPod后,发现Fiddler捕捉到以下信息:

乍一看前面的数据好像不是很多,但是它引出了一个问题:为什么一个语言编辑器会知道“用户连接了iPod5这个iOS设备,设备运行的是iOS 7.0,序列号是:650…,它是通过USB集线器连接:USB#ROOT_HUB20#48…”?

当用Android手机测试时,出现了相似的情况:

最后,McAfee实验室呼吁应用程序开发者能够在安全开发周期中修补这些漏洞。

【小编有话说】:数据泄露年年有,近年尤其多。下一个中招的会是谁?我们不得而知。我们所能做的就是建立健全安全防护意识,做好基础的漏洞防护。作为移动设备的用户,我们应该对正在使用的应用程序持怀疑态度。而作为这些应用的开发者们,应该尽可能在写这些应用程序的过程中尽量减少应用程序的安全漏洞,提高应用程序的安全性。此外,我们也提醒广大开发者:采用安全编码的做法,提高编写代码的质量,这对于阻止攻击是最有效的哦!

原文地址:https://blogs.mcafee.com/mcafee-labs/apps-sending-plain-http-put-personal-data-risk

文章题目:小心了!APP通过明文HTTP传输数据易致信息泄露
标题URL:http://www.stwzsj.com/qtweb/news30/1880.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联