移動終端的普及讓人們的生活不再枯燥，各類應用程序帶給人們的快速便捷也讓使用者對此愛不釋手。然而只要你稍加留意便會發(fā)現(xiàn)，由于應用程序導致的信息泄露、數(shù)據(jù)丟失等安全事件屢見不鮮。

近日，McAfee實驗室在其官方博客上稱，其研究人員發(fā)現(xiàn)很多應用程序對移動設備的行為進行跟蹤，并將跟蹤收集到的數(shù)據(jù)通過明文HTTP傳輸，發(fā)送到應用程序開發(fā)者的服務器。而這種做法極易導致個人信息以及企業(yè)數(shù)據(jù)被黑客截取，造成數(shù)據(jù)泄露。

本文中，McAfee實驗室對Costco、微博和搜狗輸入法三個應用進行了舉例分析，并呼吁應用程序開發(fā)者在安全開發(fā)周期中修補這些漏洞。

Costco應用：赤裸裸的憑證

美國第二大零售商Costco應用程序就存在這個漏洞，安全研究人員測試發(fā)現(xiàn)其登錄請求為明文HTTP請求。這說明了什么?當你使用手機連接到存在危險的公共無線網絡進行網上購物時，黑客將會截取這些信息。

McAfee實驗室表示經過對其他應用程序的測試發(fā)現(xiàn)，這種明文HTTP風險無處不在。下面，讓我們通過微博和搜狗這兩個應用再來看一下。

微博：社交媒體聊天容易被嗅探或欺騙

在中國，微博是類似于Twitter與Facebook的社交媒體平臺，可以和朋友在此聊天。假設你在微博留言如下：

利用Wireshark捕獲到向微博后臺發(fā)送的數(shù)據(jù)如下：

攻擊者可以捕獲你的cookie，甚至可以通過中間人攻擊改變你的職位信息。

你可能會問誰關心呢?這些職位信息在社交媒體到處都是。但是如果與你的朋友私聊呢?我們通過聊天窗口發(fā)布消息：

Wireshark再次捕獲了沒有加密的準確的文本，這兒沒有隱私!

搜狗通過明文HTTP發(fā)送設備數(shù)據(jù)

搜狗是最流行的中文輸入法編輯器，安裝用戶超過4億。因其提示優(yōu)化功能，用戶可以不必輸入完整的拼音就可以拼寫出需要的文字。然而，McAfee實驗室通過USB接口連接iPod后，發(fā)現(xiàn)Fiddler捕捉到以下信息：

乍一看前面的數(shù)據(jù)好像不是很多，但是它引出了一個問題：為什么一個語言編輯器會知道“用戶連接了iPod5這個iOS設備，設備運行的是iOS 7.0,序列號是：650…，它是通過USB集線器連接：USB#ROOT_HUB20#48…”?

當用Android手機測試時，出現(xiàn)了相似的情況：

最后，McAfee實驗室呼吁應用程序開發(fā)者能夠在安全開發(fā)周期中修補這些漏洞。

【小編有話說】：數(shù)據(jù)泄露年年有，近年尤其多。下一個中招的會是誰?我們不得而知。我們所能做的就是建立健全安全防護意識，做好基礎的漏洞防護。作為移動設備的用戶，我們應該對正在使用的應用程序持懷疑態(tài)度。而作為這些應用的開發(fā)者們，應該盡可能在寫這些應用程序的過程中盡量減少應用程序的安全漏洞，提高應用程序的安全性。此外，我們也提醒廣大開發(fā)者：采用安全編碼的做法，提高編寫代碼的質量，這對于阻止攻擊是最有效的哦!

原文地址：https://blogs.mcafee.com/mcafee-labs/apps-sending-plain-http-put-personal-data-risk