移動威脅、SSL弱點和Web應用程序漏洞
隨著智能手機越來越普及,用戶越來越信任其設備上運行的應用程序。但是,有兩個安全研究人員計劃在黑帽大會2010上展示在移動設備上運行的許多應用程序有錯誤,獲得的的資料遠遠超過本身所需,并可能包含竊取敏感數據所需的漏洞。
移動安全公司Lookout的Kevin Mahaffey和John Hering花了幾個月時間來對從谷歌Android市場和Apple App商店上免費獲得的30萬個應用程序進行分析。這兩位研究者表示智能手機用戶應該對他們正在使用的應用程序持懷疑態度。雖然許多應用程序是由信任的公司(如eBay和Amazon.com)創建和備份的,并且通常具有較高的質量,但是那些由第三方開發商開發的應用程序一般有偽劣記錄。有證據表明許多開發商都在復制和粘貼代碼,甚至沒有真正弄明白這些應用程序能做什么。
“這些設備已從移動電話轉移到你口袋中的實際計算機中,” Hering說,“移動寬帶和移動數據使用的激增主要是由應用程序和瀏覽網頁所驅動的,現在對安全的實際需求和人們使用的設備的整體狀況已經從根本上發生了變化。”
Hering說,定位數據、移動設備可識別信息和其他使用模式正在被應用程序收集,大多數用戶會認為是無害的。例如,兩名研究人員發現了一個簡單的桌面應用程序,旨在在設備的主屏幕上放圖片,收集位置數據。此外,兩位移動安全專家打算展示可以在移動設備上利用的新漏洞。
本周Mahaffey、Hering和數百位安全研究人員將在美國拉斯維加斯參加為期兩天的黑帽2010簡報會(7月28—7月29日)。雖然研究人員計劃在黑帽大會上展示基于移動的攻擊,并發布隱私威脅,整個會議的主方向還是基礎設施威脅。幾位研究人員計劃強調SCADA系統(用于管理發電廠、化學煉油廠和其他關鍵設施中的系統的基礎軟件)弱點。Red Tiger Security的創始人和首席顧問Jonathan Pollet將展示對可以讓黑客進入電網網絡層的漏洞的研究結果。
此外,研究人員將展示SSL(網站為保護數據所采用的傳輸層加密協議)的弱點。三名安全專家Elie Bursztein、Baptiste Gourdin和Gustav Rydstedt將演示如何攻擊存儲機制來篡改一個SSL會話。Qualys公司SSL實驗室的Ivan Ristic將展示他的研究結果,即通過分析SSL使用來記錄配置錯誤。
“SSL是最安全的協議之一,它是互聯網安全的中堅力量,但我們很少有時間來研究它的使用情況,并幫助廣大用戶正確地配置并使用它,” Ristic說,“不知怎的,最近幾年我們總是偏離軌道,去尋求其他的安全問題。”
Web應用安全
黑帽大會2010議程中有許多關于確保定制的或現成的Web應用程序安全的會談和指導。自主開發或定制的代碼一直很難過安全這一關,主要是因為市場對應用程序的急切需求。
第三方代碼又如何呢?Widgets(小部件)、應用程序和廣告模塊是許多Web應用程序的固定裝備,其代碼由第三方提供商提供。這些第三方應用程序一般會成為攻擊者的攻擊目標,尤其是當應用程序添加有旅游、娛樂、出版和科技網站功能時。即使是敏感行業的網站,如醫療或金融服務,他們也會使用第三方應用程序或部件來給用戶提供更多的功能。
Palto Alto的聯合創始人兼CTO Neil Daswani說“關于這些漏洞有一點要說明的是,它們不容易修復。如果你有一個跨站點腳本漏洞或SQL注入問題,你要盡快對它們進行更新。如果你使用的是受感染的Javascript小工具,會發生什么呢?作為網站所有者,您需要在客戶被感染和搜索引擎抓取受感染網站之前了解這些問題,并關閉你的網站。”
基于Web的反惡意軟件公司Dasient將在黑帽大會上展示網站中三個最關鍵的結構漏洞。Daswani將談論他的公司在Javascript小工具、第三方廣告服務和第三方應用軟件中發現的漏洞和問題。
Daswani表示,通常情況下,這個問題歸結于信任。例如,小部件供應商可能會是攻擊者偽裝成的供應商,該Widget(小部件)可能已經受到感染;或者可以使用DNS緩存中毒來將網站訪問者重定向到攻擊網站。這項研究還指出,與第三方廣告也可服務于惡意軟件或將用戶重定向到攻擊網站。主要的原因是,廣告商有多個合作伙伴,很有可能的是某個或所有合作伙伴都沒有審核廣告內容的安全性。第三方應用程序還可能利用網站訪問者與網站之間的信任。應用程序可能會受到基于Web的攻擊(如SQL注入或跨站腳本);主網站需要確保供應商審查代碼,以防安全漏洞。
Daswani說,“提高安全意識是很重要的。Web 2.0很好,但是在加入更多的功能和結構的時候,要確保減輕風險,并保持監測,這一點很重要。”
【編輯推薦】
