约会应用程序比以往任何时候都更受欢迎,特别是在跑到情人节。根据PEW研究,38%的美国单打可能有一个约会网站或应用程序,以感谢于本周末的情人日期。但这些应用程序是否安全,保证对对访问这么多高敏感数据的黑客感兴趣?
可悲的是,答案是没有的。
上个月,我的安全团队对五个顶级约会应用进行了深入的审查。我们的研究结果令人不安:在我们分析的五个应用中,所有人都容易被黑客攻击,其中漏洞利用将使2014年或者仅在去年12月漏洞与Snapchat中的臭名昭着攻击相似,从艾滋病毒阳性约会应用程序中泄露用户数据。我们审查的约会应用是非常众所周知的。事实上,我们分析的两个最受欢迎的两次被谷歌播放的1000万和1亿次下载。
由于这些漏洞存在于许多广泛使用的应用程序中,因此我们强烈建议约会应用程序,以大量采取一些简单的预防措施。约会应用程序的开发人员 - 以及那么重要的,App开发人员和出版商一般 - 应该了解我们如何快速地确定这些漏洞,黑客如何利用它们,以及现在应该如何提高安全性。
我们的分析
我的团队只需几分钟即可分解每个应用程序,不到一个小时才能识别它们内部的潜在利用。再次,我们没有通过我们的任何独特的技术,但通过随时可用的公用事业,任何具有常规流畅性的使用权可以复制。(甚至有you的辅助教程为您在youtube上执行此操作。)
可利用的代码和黑客方案
为了解释黑客如何在分解的约会应用程序中轻松找到和利用代码,这里有一些代码片段直接从我们研究中的两个应用程序绘制。(识别细节已被遮挡。)在我们的分析中从最广泛使用的应用程序中汲取了此示例:
这是App的文件夹中的屏幕截图,它包含应用程序的登录凭据的一部分,以与Taplytics通信,是一个流行的第三方服务提供商。访问这将允许黑客发现应用程序的真实用户号码,并且更多有关,使潜在的后门能够进入应用程序的服务器。
这是我们在目前在普及的约会应用程序中发现的另一个严重漏洞:
如您所见,此应用程序都有解析应用程序ID和客户端密钥硬编码到应用程序的源代码中。使用这两个变量,黑客可以登录解析并直接访问应用程序的服务器。通过Facebook最近宣布计划更快门解析,这种特殊的漏洞有点减少。但是,最近的McAfee研究确定了与其他后端服务的众多漏洞,包括来自亚马逊和谷歌的其他后端服务。在任何情况下,这也说明了开发人员经常在不考虑后果的情况下无意中放入登录详细信息的现实。这大致类似于在帖子上写下组合,然后将其连接到安全门。
这些漏洞使用户暴露了许多潜在的威胁,包括可以拦截用户到用户消息和文件(例如照片)的“人类”(如照片),窃取了敏感的用户数据,如用户位置和直接联系信息,以及创建重新包装,官方应用程序的虚拟版本偷偷地在线发布,愚弄用户赠送一切。黑客已经完成了这个,更多的是Snapchat和一个流行的中国克隆。随着我们使用的更多信息,更多的黑客肯定会遵循。
应用程序开发人员的建议
我们想说,我们在研究中发现的漏洞是例外,但不幸的是,事实是他们是常态。正如我们在我们以前的100个Google Apps的研究中发现的那样,200个最受欢迎的免费应用中的85%也是脆弱的。在急于上市和持续的压力,满足投资者里程碑,安全往往是一个创业公司的最低优先级。但正如我们在太多情况下看到的那样,剥削的应用程序的成本可能会毁灭。
有几种措施大多数公司可以可行的措施,以便将应用程序提供基本的保护水平。开发人员应制定安全考虑他们正常的代码审查流程的一个组成部分,并在发布它们之前将汇编安全措施应用于应用程序。此外,我们强烈建议使用应用程序的二进制文件,并混淆其基础源代码 - 将阻碍我们分析中所示技术的步骤。
最后,开发人员:不要在您的应用程序的源代码中进行硬代码密钥值。这样做是为了一个快速而简单的开发周期,但权衡不值得。相反,通过了解您不仅保护您的应用程序和您的投资,而且您的用户将在手机上分享的一些最私密和敏感的信息,请加密您的密钥。
Min Pyo Hong是一家位于旧金山的高通公司安全解决方案开发商的首席执行官和创始人。他已经建议了20多年来的公司,非政府组织和政府对数字安全问题,并领导了Defcon的五次决赛选手的团队。
