PS:本文旨在提醒用户以及开发者关注安全问题,切莫因小失大。
台湾省台北市在六月份末期推出的由当地官方主导的移动支付平台 Pay.Taipei 由于数据加密问题被紧急撤回。
该应用在上线后没过多久就被用户发现不但将用户的账号密码以明文形式发送至服务器并且还采用HTTP传输。
攻击者只需通过劫持的方式即可轻易获得用户的账号ID和密码, 进而登录用户的账号盗刷平台和银行卡余额。
中间人攻击举例:
例如当用户在公共场合连接开放WiFi网络时攻击者只需要也接入该网络即可通过各类嗅探工具抓取对应流量。
第二种比较常见的中间人攻击手法是在公共场合建立开放WiFi热点诱导用户接入攻击者建立的这个WiFi网络。
这种情况下只要是没有经过加密连接的内容攻击者均可以轻而易举的抓取用户发送的流量或者回传恶意内容。
外包开发商紧急下架:
在传出该问题后 Pay.Taipei 应用的外包开发商蓝新科技紧急从Google Play应用商店中撤下了这款问题应用。
蓝新科技对外宣称这款应用其实早在去年年底的时候完成, 之后则在等待其他支付平台的系统进行对接工作。
同时该公司还宣称目前这款应用程序并未完成最后的验收工作, 不过不清楚为何没有经过验收就拿去上架了。
为何必须使用HTTPS传输:
前文我们已经提到中间人攻击(MIT)的两种实例, 不使用加密的情况下通过劫持方式获取资料实在太简单。
苹果在去年已经要求AppStore中的应用务必启用ATS安全加密措施,ATS政策即要求App启用 TLS 1.2 加密。
在早前几年UC 浏览器曾被爆出收集用户设备信息并使用明文即HTTP传输用户的历史记录至该公司的服务器。
棱镜门事件的主角斯诺登则是爆出了美国的情报人员利用UC浏览器的这个漏洞来截获某些他们感兴趣的内容。
由此可见使用HTTPS加密传输是多么的重要,显然如果依然使用 HTTP 传输那么攻击起来的几乎是没有难度。