SSL 加密连线不见得安全,不要在公众网路使用网银交易

分类:C趣生活 780赞 2020-06-09 691次浏览
SSL 加密连线不见得安全,不要在公众网路使用网银交易

日前行政院长江宜桦发函要公务人员不要使用LINE、WhatsApp 等通讯软体,要公务人员使用工研院研发的手机通讯软体 Juiker(揪科),但 Juiker 却爆出 SSL 凭证认证的问题,让恶意攻击者可利用中间人攻击,窃取使用者的机敏资料。虽然工研院紧急修改 App,已于 1 日重新上架,但这也揭示手机 App 在开发上的 SSL 凭证风险,对一般者来说,手机最机密的资料往往是手机上的帐密及网路金融交易资讯。

HITCON 台湾骇客年会在 6 日举办论坛,提醒开发者特别注意手机 App 开发时,常被忽略的 SSL 处理,以及 Android 系统的 WebView 三大漏洞(注)。岑志豪提醒,Android 系统的 4.0.X 及 4.1.X 版本是重灾区,横跨三个 WebView 漏洞,开发者不要小看每个漏洞,三个漏洞加总起来,危害不容小觑。

岑志豪指出,「不是用 SSL 加密连线就安全,要检查凭证是否安全。」网路连线普遍发生的现象是,对资料层传输的保护不足。最常遇到中间人攻击(Man-In-The-Middle Attack),当连线被中间人攻击时,会拦截中间的资讯,使用者的连线被导往攻击者的伺服器,使用者资料就会被窃取。

不要在公众网路使用银行线上交易

资安专家戴夫寇尔资安研究员岑志豪建议,一般使用者尽量不要在公众使用的网路如咖啡厅进行刷卡及网路金融交易,避免恶意攻击者利用同一个网段进行恶意攻击,取得机敏资讯,3G、4G 网路或家中网路则相对安全。因为网路银行也可能被中间人攻击,台湾许多线上银行都存在 SSL 风险,由于程式通常是委外开发,要看外包厂商是否注意到 SSL 的问题。

另外,岑志豪提醒使用者不要点进来历不明的连结,更要注意是否点进连结后下载程式。他进一步指出,如果发现上网的速度变得很慢,或者突然在某个情况下耗电率很快,这两个特徵可以协助使用者判断是否手机可能被恶意攻击。

如果真的发现手机被攻击下载恶意程式,可以试着移除程式,如果无法移除的话,就把手机系统重置,恢复到原厂设定,大部分的情况应该可以解除危害。

SSL 处理凭证风险,防範方法:避免在公众网路传输机敏资讯

SSL 问题普遍存在,资策会「2014 年上半年台湾风云 APP 百强」中,Android 的 App 有 86 个,其中存在 SSL 风险的 App 就有 49 个。岑志豪说,一般来说,系统预设会对伺服器做凭证的检查,只要凭证有效,伺服器的设定也正确的话,就可以正常使用加密连线,如果凭证无效的话,开发者若没有处理,连线就会被中断。

使用预设设定而无法通过凭证的原因有以下三个:
1、凭证是对的,但伺服器设定有误。
2、根凭证未预装到装置上,手机上有先预安装凭证,但手机机型旧,导致凭证认为你的手机有问题。
3、其他:像是开发者常常会自行签发凭证、凭证过期及网域名称不符。

给开发者的建议:

给使用者的建议:

SSL 加密连线不见得安全,不要在公众网路使用网银交易Android 系统上 SSL 问题的建议。三大 WebView 漏洞,防範方法:使用 Android 系统 4.2.X 或 chrome、firefox、opera 浏览器

开发者想让程式与网页结合时,通常会使用 WebView,是可执行 JavaScript,用于连结网路及显示网页的元件。不过,岑志豪也指出 WebView 目前的三大漏洞 CVE-2012-6636、CVE-2014-1939、CVE-2014-6041,会让攻击者可以窃取资料,Android 系统的 4.0.X 及 4.1.X 同时受到三个漏洞影响,算是「重灾区」。

SSL 加密连线不见得安全,不要在公众网路使用网银交易手机 App 使用 WebView 常见的三大 CVE 漏洞,漏洞见红色区域。

岑志豪说,结合SSL的中间人攻击及 WebView 的漏洞,攻击者可取得手机应用程式的权限,进而控制使用者的手机。他并建议,千万不要忽视每个漏洞的影响力,尤其是不同漏洞的组合,危害将远大于每个漏洞各自的影响。开发者要在产品发布前进行安全测试,定义 App 最低支援版本,避免因相容旧版而引发资讯安全的问题。

SSL 加密连线不见得安全,不要在公众网路使用网银交易资安专家提醒开发者不要忽略漏洞被结合攻击的影响力。

给开发者的建议:

CVE-2012-6636

CVE-2014-1939

CVE-2014-6041

给使用者的建议:

注:CVE(Common Vulnerabilities and Exposures)漏洞是一个国际知名的漏洞资料库,由企业界、政府界和学术界共同参与的非盈利组织,可以快速发现软体中的脆弱之处。