隨著智能手機(jī)越來越普及，用戶越來越信任其設(shè)備上運(yùn)行的應(yīng)用程序。但是，有兩個(gè)安全研究人員計(jì)劃在黑帽大會(huì)2010上展示在移動(dòng)設(shè)備上運(yùn)行的許多應(yīng)用程序有錯(cuò)誤，獲得的的資料遠(yuǎn)遠(yuǎn)超過本身所需，并可能包含竊取敏感數(shù)據(jù)所需的漏洞。

移動(dòng)安全公司Lookout的Kevin Mahaffey和John Hering花了幾個(gè)月時(shí)間來對(duì)從谷歌Android市場(chǎng)和Apple App商店上免費(fèi)獲得的30萬個(gè)應(yīng)用程序進(jìn)行分析。這兩位研究者表示智能手機(jī)用戶應(yīng)該對(duì)他們正在使用的應(yīng)用程序持懷疑態(tài)度。雖然許多應(yīng)用程序是由信任的公司（如eBay和Amazon.com）創(chuàng)建和備份的，并且通常具有較高的質(zhì)量，但是那些由第三方開發(fā)商開發(fā)的應(yīng)用程序一般有偽劣記錄。有證據(jù)表明許多開發(fā)商都在復(fù)制和粘貼代碼，甚至沒有真正弄明白這些應(yīng)用程序能做什么。

“這些設(shè)備已從移動(dòng)電話轉(zhuǎn)移到你口袋中的實(shí)際計(jì)算機(jī)中，” Hering說，“移動(dòng)寬帶和移動(dòng)數(shù)據(jù)使用的激增主要是由應(yīng)用程序和瀏覽網(wǎng)頁所驅(qū)動(dòng)的，現(xiàn)在對(duì)安全的實(shí)際需求和人們使用的設(shè)備的整體狀況已經(jīng)從根本上發(fā)生了變化?！?/P>

Hering說，定位數(shù)據(jù)、移動(dòng)設(shè)備可識(shí)別信息和其他使用模式正在被應(yīng)用程序收集，大多數(shù)用戶會(huì)認(rèn)為是無害的。例如，兩名研究人員發(fā)現(xiàn)了一個(gè)簡(jiǎn)單的桌面應(yīng)用程序，旨在在設(shè)備的主屏幕上放圖片，收集位置數(shù)據(jù)。此外，兩位移動(dòng)安全專家打算展示可以在移動(dòng)設(shè)備上利用的新漏洞。

本周Mahaffey、Hering和數(shù)百位安全研究人員將在美國(guó)拉斯維加斯參加為期兩天的黑帽2010簡(jiǎn)報(bào)會(huì)（7月28—7月29日）。雖然研究人員計(jì)劃在黑帽大會(huì)上展示基于移動(dòng)的攻擊，并發(fā)布隱私威脅，整個(gè)會(huì)議的主方向還是基礎(chǔ)設(shè)施威脅。幾位研究人員計(jì)劃強(qiáng)調(diào)SCADA系統(tǒng)（用于管理發(fā)電廠、化學(xué)煉油廠和其他關(guān)鍵設(shè)施中的系統(tǒng)的基礎(chǔ)軟件）弱點(diǎn)。Red Tiger Security的創(chuàng)始人和首席顧問Jonathan Pollet將展示對(duì)可以讓黑客進(jìn)入電網(wǎng)網(wǎng)絡(luò)層的漏洞的研究結(jié)果。

此外，研究人員將展示SSL（網(wǎng)站為保護(hù)數(shù)據(jù)所采用的傳輸層加密協(xié)議）的弱點(diǎn)。三名安全專家Elie Bursztein、Baptiste Gourdin和Gustav Rydstedt將演示如何攻擊存儲(chǔ)機(jī)制來篡改一個(gè)SSL會(huì)話。Qualys公司SSL實(shí)驗(yàn)室的Ivan Ristic將展示他的研究結(jié)果，即通過分析SSL使用來記錄配置錯(cuò)誤。

“SSL是最安全的協(xié)議之一，它是互聯(lián)網(wǎng)安全的中堅(jiān)力量，但我們很少有時(shí)間來研究它的使用情況，并幫助廣大用戶正確地配置并使用它，” Ristic說，“不知怎的，最近幾年我們總是偏離軌道，去尋求其他的安全問題?！?/P>

Web應(yīng)用安全

黑帽大會(huì)2010議程中有許多關(guān)于確保定制的或現(xiàn)成的Web應(yīng)用程序安全的會(huì)談和指導(dǎo)。自主開發(fā)或定制的代碼一直很難過安全這一關(guān)，主要是因?yàn)槭袌?chǎng)對(duì)應(yīng)用程序的急切需求。

第三方代碼又如何呢？Widgets（小部件）、應(yīng)用程序和廣告模塊是許多Web應(yīng)用程序的固定裝備，其代碼由第三方提供商提供。這些第三方應(yīng)用程序一般會(huì)成為攻擊者的攻擊目標(biāo)，尤其是當(dāng)應(yīng)用程序添加有旅游、娛樂、出版和科技網(wǎng)站功能時(shí)。即使是敏感行業(yè)的網(wǎng)站，如醫(yī)療或金融服務(wù)，他們也會(huì)使用第三方應(yīng)用程序或部件來給用戶提供更多的功能。

Palto Alto的聯(lián)合創(chuàng)始人兼CTO Neil Daswani說“關(guān)于這些漏洞有一點(diǎn)要說明的是，它們不容易修復(fù)。如果你有一個(gè)跨站點(diǎn)腳本漏洞或SQL注入問題，你要盡快對(duì)它們進(jìn)行更新。如果你使用的是受感染的Javascript小工具，會(huì)發(fā)生什么呢？作為網(wǎng)站所有者，您需要在客戶被感染和搜索引擎抓取受感染網(wǎng)站之前了解這些問題，并關(guān)閉你的網(wǎng)站?！?

基于Web的反惡意軟件公司Dasient將在黑帽大會(huì)上展示網(wǎng)站中三個(gè)最關(guān)鍵的結(jié)構(gòu)漏洞。Daswani將談?wù)撍墓驹贘avascript小工具、第三方廣告服務(wù)和第三方應(yīng)用軟件中發(fā)現(xiàn)的漏洞和問題。

Daswani表示，通常情況下，這個(gè)問題歸結(jié)于信任。例如，小部件供應(yīng)商可能會(huì)是攻擊者偽裝成的供應(yīng)商，該Widget（小部件）可能已經(jīng)受到感染；或者可以使用DNS緩存中毒來將網(wǎng)站訪問者重定向到攻擊網(wǎng)站。這項(xiàng)研究還指出，與第三方廣告也可服務(wù)于惡意軟件或?qū)⒂脩糁囟ㄏ虻焦艟W(wǎng)站。主要的原因是，廣告商有多個(gè)合作伙伴，很有可能的是某個(gè)或所有合作伙伴都沒有審核廣告內(nèi)容的安全性。第三方應(yīng)用程序還可能利用網(wǎng)站訪問者與網(wǎng)站之間的信任。應(yīng)用程序可能會(huì)受到基于Web的攻擊（如SQL注入或跨站腳本）；主網(wǎng)站需要確保供應(yīng)商審查代碼，以防安全漏洞。

Daswani說，“提高安全意識(shí)是很重要的。Web 2.0很好，但是在加入更多的功能和結(jié)構(gòu)的時(shí)候，要確保減輕風(fēng)險(xiǎn)，并保持監(jiān)測(cè)，這一點(diǎn)很重要?！?/P>

【編輯推薦】

1. 用EV-SSL為使用Resin的WEB站點(diǎn)打造綠色安全通道
2. 學(xué)校Web應(yīng)用系統(tǒng)安全解決方案