艺龙手机客户端(艺龙登录)

太平洋在线下载手机版 25 0

  ?天猫APP的HTTPS连接没有校验证书链和证书签发者,极容易被黑客劫持加密流量,窃取用户名密码以及银行卡号等机密信息;

  ?途牛、阿里旅行等在线旅游APP,HTTPS连接均没有校验证书链和证书签发者。

  

  携程APP超千万用户数据明文“裸奔”

  比达咨询2015年4月手机APP用户监测数据显示,携程APP月活跃用户数超1900万,艺龙APP月活跃用户近400万,但这两款APP都采用全站HTTP明文传输协议。这意味着,携程、艺龙APP上超两千万用户数据都以明文方式在互联网上“裸奔”,通过简单的代理抓包工具就可以捕获APP传输数据,其中可能包含用户的账号密码、身份证号、手机号、真实姓名、酒店预订记录、出行记录等隐私信息。

  

  

  携程APP全站明文传输

  

艺龙手机客户端(艺龙登录)-第1张图片-太平洋在线下载

  艺龙APP传输数据,明文泄漏用户手机号

  天猫APP的HTTPS不校验证书链和证书颁发者

  阿里旗下的淘宝和天猫均在今年启用了全站HTTPS加密,天猫APP除了部分页面和CDN外,基本上实现了全站HTTPS加密访问。但经过测试发现,天猫APP的HTTPS根本不会校验证书链和证书颁发者,通过简单的DNS劫持和自签证书就能够获取到用户APP传输的加密数据。

  从下面2张图可以看出,通过自签SSL证书和虚假服务器,对天猫APP进行ARP欺骗和DNS欺骗,就可以使天猫APP客户端与虚假服务器成功建立连接,并使用自签SSL证书加密传输数据。这个漏洞一旦被黑客利用,将对用户隐私和资金安全造成严重威胁。

  

  天猫APP与虚假服务器成功建立连接

  

艺龙手机客户端(艺龙登录)-第2张图片-太平洋在线下载

  天猫APP与虚假服务器完成SSL握手

  主流旅游APP仅部分页面启用HTTPS

  途牛、阿里旅行等APP都只在部分页面启用HTTPS,其他页面均为明文传输;HTTPS均没有校验证书链和证书颁发者,同样可以通过欺骗手段,利用自签SSL证书和虚假服务器获取到用户APP传输的加密数据。

  

  途牛APP与虚假服务器成功建立连接

  

  阿里旅行APP与虚假服务器成功建立连接

  超过90%以上APP未启用HTTPS加密

  除了上述在线购物和在线旅游APP以外,沃通CA还对其他热门APP程序进行了检测,其中包括网银APP。综合结果显示,超过90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面中,98%不校验证书链和证书颁发者,甚至不验证证书域名是否匹配。

  总结

  SSL加密认证技术是互联网最基础的安全防护措施,所有APP开发者都应重视。苹果iOS9系统已经明确要求APP强制升级使用HTTPS协议,可见HTTP明文传输的安全问题已经异常严重。沃通CA呼吁: APP开发者一定要为APP服务器部署全球信任的SSL证书,通过HTTPS加密防止数据泄露,通过SSL认证防止中间人欺骗和劫持。沃通CA提供免费SSL证书(freessl.wosign.com),让所有APP开发者零成本启用HTTPS加密;同时提供企业验证型OV SSL证书和扩展验证型EV SSL证书,为开发者提供更严格的身份认证及更高的安全防护。登录沃通官网(www.wosign.com)了解SSL证书,登录沃通数字证书商店(buy.wosign.com)在线申请。

  刚刚过去的2015“双十一”,天猫最终以912.17亿元的交易额创下惊人纪录。值得注意的是,天猫移动端交易额为626亿元,占比达68.67%,远 超PC端交易规模。这预示着电子商务的移动时代真正到来,移动端正式成为与PC端并驾齐驱的主流渠道。到目前为止,以天猫为代表的在线购物市场及以携程为 代表的在线旅游市场,都出现移动端交易量快速增长的趋势。

标签: 艺龙手机客户端

抱歉,评论功能暂时关闭!