國內也有幾款應用上榜,看看你用的是否在列。
在經過對 iOS App Store 中的二進制代碼進行掃描之後,Will Strafach 的 verify.ly 服務檢測到商店中有 76 款人氣應用面臨著數據受攔截的風險。不管 App Store 的開發者是否啟用 App Transport Security 安全功能,這種數據攔截都有可能會發生。幾個月之前,Experian 和 myFICO Mobile 公司的 iOS 應用中也發現了同樣的漏洞。
Strafach 的 verify.ly 服務專用於掃描 iOS App Store 中的應用,查找漏洞,給開發者提供幫助,讓他們知道應該如何強化自己的代碼,保證其安全。該服務的掃描主要是為了發現漏洞的模式,更可怕的是有時候會發現這些漏洞不斷地出現在各種應用之中。而這次的發現之所以這麼令人擔憂,不僅僅是因為發現的都是常用的應用,更因為這些應用已經被累計下載了 1800 萬次,也就意味著目前有這麼多用戶都面臨著風險。
根據 Strafach 的介紹,在一定的 Wi-Fi 范圍之內,如果用戶的設備當前正在使用,那麼這種類型的攻擊就有可能會發生。它完全有可能發生在公共場所,甚至有可能在你的家裡,只要攻擊者和你的距離足夠近。攻擊者可以使用定制硬件或者是一個稍微經過修改的移動電話即可發起攻擊,需要的設備取決於范圍以及功能。如果要舉一個例子來說明這種攻擊的話,那就是攻擊者能夠近距離讀取你的信用卡數據。
受影響應用名單
Strafach 在報告中已經將這些應用按照低風險和中高風險分類。其中低風險應用有 33 款:
ooVoo、VivaVideo、Snap Upload for Snapchat、Uconnect Access、Volify 、Uploader Free for Snapchat、Epic! — Unlimited Books for Kids、Mico — Chat, Meet New People、Safe Up for Snapchat、騰訊微雲、Uploader for Snapchat、華為 Huawei HiLink (Mobile WiFi)、VICE News、Trading 212 Forex & Stocks、途牛旅游-訂機票酒店火車票汽車票特價旅行、CashApp 、FreeMyApps、1000 Friends for Snapchat 、YeeCall Messenger-Free Video Call&Conference Call、InstaRepost — Repost Videos & Photos for Instagram Free Whiz App、Loops Live、Privat24、Private Browser — Anonymous VPN Proxy Browser、AMAN BANK、FirstBank PR Mobile Banking、vpn free — OvpnSpider for vpngate、Gift Saga — Free Gift Card & Cash Rewards、Vpn One Click Professional、Music tube — free imusic playlists from Youtube、AutoLotto: Powerball, MegaMillions Lottery Tickets、Foscam IP Camera Viewer by OWLR for Foscam IP Cams、ScanLife QR and Barcode Reader。
上述這些應用的數據被攔截的可能性比較低,Strafach 在報告中指出有些應用是其中的用戶名和用戶密碼會被攔截,而有些是操作系統版本號、分析信息、機型、Wi-Fi 網絡名稱和 Wi-Fi 網絡 BSSID 等會被攔截。
中高風險分別有 24 款和 19 款,不過目前還沒有公布名單。他們表示會先與受影響的銀行、醫療服務提供方以及其他敏感應用的開發者聯系之後,在未來 60-90 天再逐漸公開。目前因為敏感性這份名單僅提供給部分相關人員。
如何防范和避免
App Transport Security(ATS)是蘋果在 iOS 9 中引入的一項隱私保護功能,屏蔽明文 HTTP 資源加載,連接必須經過更安全的 HTTPS。此前蘋果宣布到 2017 年 1 月 1 日,App Store 中的所有應用都必須啟用 App Transport Security 安全功能,否則極有可能被拒!不過後來他們又延長了截止日期,目前還不知道最終日期是什麼時候。
針對這次出現的問題,Will Strafach 在報道中指出其實蘋果方面也束手無策。如上文所介紹,蘋果 ATS 也無法讓用戶避免這種風向。因為如果蘋果想為了解決這個安全問題而去推翻這個功能的話,那麼部分 iOS 應用會因此變得更加不安全,因為它們不能夠在連接的過程中使用“證書鎖定”(certificate pinning),而且它們也無法獲得信任,否則使用內部 PKI 的企業局域網連接可能會需要不可信的證書。因此這個風險只能夠是由開發者來幫助用戶解除,或者說將風險降到最低,開發者必須強化他們的應用的安全性。
用戶也可以通過一些辦法來保護自己的安全。正確配置 VPN 有助於緩解這個問題。如果用戶不想使用 VPN 的話,那麼 Strafach 建議用戶關閉 Wi-Fi 連接,具體如下:如果你在公共場所的時候需要在自己的移動設備上執行某些敏感任務(比如你想打開銀行用戶,查看你的銀行賬戶),你就可以在執行這個任務之前,現在設置中關閉“Wi-Fi”的開關,從而避開上述風險。
即便是蜂窩網絡其實也有風險,蜂窩攔截難度更高,需要一些非常昂貴的硬件設備,但是蜂窩攔截目標太大,很容易被發現,而且在某些國家這種攔截是非法的,因此攻擊者一般不會嘗試通過蜂窩網絡去攔截用戶的數據。
對於在蘋果應用商店中發布應用的開發商,Will Strafach建議在提交應用給蘋果審核之前,先使用 verify.ly 服務進行掃描,它可以發現應用中存在的漏洞以及其他問題。然後再提供一份易讀的報告,介紹所有可能存在的問題,以保證你的客戶數據安全。
另外 Will Strafach 也提醒開發者在插入與網絡相關的代碼,改變應用程序的行為時必須特別小心。很多與此相似的問題都是因為開發者從網絡上復制代碼的時候沒有完全理解這些代碼。