主页 > V假生活 >SSL 加密连线不见得安全,不要在公众网路使用网银交易 >

SSL 加密连线不见得安全,不要在公众网路使用网银交易


2020-06-09

SSL 加密连线不见得安全,不要在公众网路使用网银交易

日前行政院长江宜桦发函要公务人员不要使用LINE、WhatsApp 等通讯软体,要公务人员使用工研院研发的手机通讯软体 Juiker(揪科),但 Juiker 却爆出 SSL 凭证认证的问题,让恶意攻击者可利用中间人攻击,窃取使用者的机敏资料。虽然工研院紧急修改 App,已于 1 日重新上架,但这也揭示手机 App 在开发上的 SSL 凭证风险,对一般者来说,手机最机密的资料往往是手机上的帐密及网路金融交易资讯。

HITCON 台湾骇客年会在 6 日举办论坛,提醒开发者特别注意手机 App 开发时,常被忽略的 SSL 处理,以及 Android 系统的 WebView 三大漏洞(注)。岑志豪提醒,Android 系统的 4.0.X 及 4.1.X 版本是重灾区,横跨三个 WebView 漏洞,开发者不要小看每个漏洞,三个漏洞加总起来,危害不容小觑。

岑志豪指出,「不是用 SSL 加密连线就安全,要检查凭证是否安全。」网路连线普遍发生的现象是,对资料层传输的保护不足。最常遇到中间人攻击(Man-In-The-Middle Attack),当连线被中间人攻击时,会拦截中间的资讯,使用者的连线被导往攻击者的伺服器,使用者资料就会被窃取。

不要在公众网路使用银行线上交易

资安专家戴夫寇尔资安研究员岑志豪建议,一般使用者尽量不要在公众使用的网路如咖啡厅进行刷卡及网路金融交易,避免恶意攻击者利用同一个网段进行恶意攻击,取得机敏资讯,3G、4G 网路或家中网路则相对安全。因为网路银行也可能被中间人攻击,台湾许多线上银行都存在 SSL 风险,由于程式通常是委外开发,要看外包厂商是否注意到 SSL 的问题。

另外,岑志豪提醒使用者不要点进来历不明的连结,更要注意是否点进连结后下载程式。他进一步指出,如果发现上网的速度变得很慢,或者突然在某个情况下耗电率很快,这两个特徵可以协助使用者判断是否手机可能被恶意攻击。

如果真的发现手机被攻击下载恶意程式,可以试着移除程式,如果无法移除的话,就把手机系统重置,恢复到原厂设定,大部分的情况应该可以解除危害。

SSL 处理凭证风险,防範方法:避免在公众网路传输机敏资讯

SSL 问题普遍存在,资策会「2014 年上半年台湾风云 APP 百强」中,Android 的 App 有 86 个,其中存在 SSL 风险的 App 就有 49 个。岑志豪说,一般来说,系统预设会对伺服器做凭证的检查,只要凭证有效,伺服器的设定也正确的话,就可以正常使用加密连线,如果凭证无效的话,开发者若没有处理,连线就会被中断。

使用预设设定而无法通过凭证的原因有以下三个:
1、凭证是对的,但伺服器设定有误。
2、根凭证未预装到装置上,手机上有先预安装凭证,但手机机型旧,导致凭证认为你的手机有问题。
3、其他:像是开发者常常会自行签发凭证、凭证过期及网域名称不符。

给开发者的建议:

给使用者的建议:

SSL 加密连线不见得安全,不要在公众网路使用网银交易Android 系统上 SSL 问题的建议。三大 WebView 漏洞,防範方法:使用 Android 系统 4.2.X 或 chrome、firefox、opera 浏览器

开发者想让程式与网页结合时,通常会使用 WebView,是可执行 JavaScript,用于连结网路及显示网页的元件。不过,岑志豪也指出 WebView 目前的三大漏洞 CVE-2012-6636、CVE-2014-1939、CVE-2014-6041,会让攻击者可以窃取资料,Android 系统的 4.0.X 及 4.1.X 同时受到三个漏洞影响,算是「重灾区」。

SSL 加密连线不见得安全,不要在公众网路使用网银交易手机 App 使用 WebView 常见的三大 CVE 漏洞,漏洞见红色区域。

岑志豪说,结合SSL的中间人攻击及 WebView 的漏洞,攻击者可取得手机应用程式的权限,进而控制使用者的手机。他并建议,千万不要忽视每个漏洞的影响力,尤其是不同漏洞的组合,危害将远大于每个漏洞各自的影响。开发者要在产品发布前进行安全测试,定义 App 最低支援版本,避免因相容旧版而引发资讯安全的问题。

SSL 加密连线不见得安全,不要在公众网路使用网银交易资安专家提醒开发者不要忽略漏洞被结合攻击的影响力。

给开发者的建议:

CVE-2012-6636

CVE-2014-1939

CVE-2014-6041

给使用者的建议:

注:CVE(Common Vulnerabilities and Exposures)漏洞是一个国际知名的漏洞资料库,由企业界、政府界和学术界共同参与的非盈利组织,可以快速发现软体中的脆弱之处。


上一篇:
下一篇:

热门推荐
2020-06-25
7.21白衣人袭击满月,周三晚千人元朗西铁站静坐,勇武派一度出场,当晚恒指夜期已唔多妥,就算美股上扬
2020-06-25
(Presented by NP360 Cable Car)秋风起,唔好浪费好天气,一于跟我Miss
2020-06-25
女性专属AIR JORDAN来啦!在 Air Jordan 7 GS 鞋型AIR JORDAN 7
2020-06-25
度过忙碌、每天都充满挑战不得闲的一周,周五只想要来狂欢一下,然后周末什幺都不管、不为任何事负责任,尽
2020-06-25
平时搭车的时候,个个都忙着做低头族,埋头玩社交网络,你可曾想过,离开校园后有多久没有手持书本坐下来静
随机文章
2020-06-18
全新NVIDIA GeForce绘图处理器以绝佳效能、功耗与价格为消费者打造最佳化PC全新GeFor
2020-06-18
 Orlando 在当地国产化豪华厢型商旅车级距佔据半边天的上海通用别克GL8车系,在数年前推出由上
2020-06-18
Mercedes-Benz不断开拓休旅级距的各种可能性,全新GLC Coupé完美融合豪华休旅与运动
2020-06-18
无庸置疑,休旅车成为了近年来台湾汽车市场最强势的潮流,以2015年为例,平均每卖出四辆新车,其中就有
2020-06-18
460 匹马力 V8 双涡轮引擎、运动化底盘配备斯图加特 . 保时捷为 Panamera 车系再添两
2020-06-18
 全新GMC Sierra特仕车,搭载Heritage套件。 GMC为GM集团在美国的四大品牌之一,
宝马娱乐登录网址_澳门奥博集团登录网址8448|生活小技巧网站|影响力生活网|网站地图 申博官网备用网址_JK娱乐安卓下载 申博官网备用网址_宝马国际线上娱