移動終端的普及讓人們的生活不再枯燥，各類應(yīng)用程序帶給人們的快速便捷也讓使用者對此愛不釋手。然而只要你稍加留意便會發(fā)現(xiàn)，由于應(yīng)用程序?qū)е碌男畔⑿孤丁?shù)據(jù)丟失等安全事件屢見不鮮。

近日，McAfee實(shí)驗室在其官方博客上稱，其研究人員發(fā)現(xiàn)很多應(yīng)用程序?qū)σ苿釉O(shè)備的行為進(jìn)行跟蹤，并將跟蹤收集到的數(shù)據(jù)通過明文HTTP傳輸，發(fā)送到應(yīng)用程序開發(fā)者的服務(wù)器。而這種做法極易導(dǎo)致個人信息以及企業(yè)數(shù)據(jù)被黑客截取，造成數(shù)據(jù)泄露。

本文中，McAfee實(shí)驗室對Costco、微博和搜狗輸入法三個應(yīng)用進(jìn)行了舉例分析，并呼吁應(yīng)用程序開發(fā)者在安全開發(fā)周期中修補(bǔ)這些漏洞。

Costco應(yīng)用：赤裸裸的憑證

美國第二大零售商Costco應(yīng)用程序就存在這個漏洞，安全研究人員測試發(fā)現(xiàn)其登錄請求為明文HTTP請求。這說明了什么?當(dāng)你使用手機(jī)連接到存在危險的公共無線網(wǎng)絡(luò)進(jìn)行網(wǎng)上購物時，黑客將會截取這些信息。

McAfee實(shí)驗室表示經(jīng)過對其他應(yīng)用程序的測試發(fā)現(xiàn)，這種明文HTTP風(fēng)險無處不在。下面，讓我們通過微博和搜狗這兩個應(yīng)用再來看一下。

微博：社交媒體聊天容易被嗅探或欺騙

在中國，微博是類似于Twitter與Facebook的社交媒體平臺，可以和朋友在此聊天。假設(shè)你在微博留言如下：

利用Wireshark捕獲到向微博后臺發(fā)送的數(shù)據(jù)如下：

攻擊者可以捕獲你的cookie，甚至可以通過中間人攻擊改變你的職位信息。

你可能會問誰關(guān)心呢?這些職位信息在社交媒體到處都是。但是如果與你的朋友私聊呢?我們通過聊天窗口發(fā)布消息：

Wireshark再次捕獲了沒有加密的準(zhǔn)確的文本，這兒沒有隱私!

搜狗通過明文HTTP發(fā)送設(shè)備數(shù)據(jù)

搜狗是最流行的中文輸入法編輯器，安裝用戶超過4億。因其提示優(yōu)化功能，用戶可以不必輸入完整的拼音就可以拼寫出需要的文字。然而，McAfee實(shí)驗室通過USB接口連接iPod后，發(fā)現(xiàn)Fiddler捕捉到以下信息：

乍一看前面的數(shù)據(jù)好像不是很多，但是它引出了一個問題：為什么一個語言編輯器會知道“用戶連接了iPod5這個iOS設(shè)備，設(shè)備運(yùn)行的是iOS 7.0,序列號是：650…，它是通過USB集線器連接：USB#ROOT_HUB20#48…”?

當(dāng)用Android手機(jī)測試時，出現(xiàn)了相似的情況：

最后，McAfee實(shí)驗室呼吁應(yīng)用程序開發(fā)者能夠在安全開發(fā)周期中修補(bǔ)這些漏洞。

【小編有話說】：數(shù)據(jù)泄露年年有，近年尤其多。下一個中招的會是誰?我們不得而知。我們所能做的就是建立健全安全防護(hù)意識，做好基礎(chǔ)的漏洞防護(hù)。作為移動設(shè)備的用戶，我們應(yīng)該對正在使用的應(yīng)用程序持懷疑態(tài)度。而作為這些應(yīng)用的開發(fā)者們，應(yīng)該盡可能在寫這些應(yīng)用程序的過程中盡量減少應(yīng)用程序的安全漏洞，提高應(yīng)用程序的安全性。此外，我們也提醒廣大開發(fā)者：采用安全編碼的做法，提高編寫代碼的質(zhì)量，這對于阻止攻擊是最有效的哦!

原文地址：https://blogs.mcafee.com/mcafee-labs/apps-sending-plain-http-put-personal-data-risk