移動威脅、SSL弱點和Web應(yīng)用程序漏洞
隨著智能手機越來越普及,用戶越來越信任其設(shè)備上運行的應(yīng)用程序。但是,有兩個安全研究人員計劃在黑帽大會2010上展示在移動設(shè)備上運行的許多應(yīng)用程序有錯誤,獲得的的資料遠遠超過本身所需,并可能包含竊取敏感數(shù)據(jù)所需的漏洞。
移動安全公司Lookout的Kevin Mahaffey和John Hering花了幾個月時間來對從谷歌Android市場和Apple App商店上免費獲得的30萬個應(yīng)用程序進行分析。這兩位研究者表示智能手機用戶應(yīng)該對他們正在使用的應(yīng)用程序持懷疑態(tài)度。雖然許多應(yīng)用程序是由信任的公司(如eBay和Amazon.com)創(chuàng)建和備份的,并且通常具有較高的質(zhì)量,但是那些由第三方開發(fā)商開發(fā)的應(yīng)用程序一般有偽劣記錄。有證據(jù)表明許多開發(fā)商都在復(fù)制和粘貼代碼,甚至沒有真正弄明白這些應(yīng)用程序能做什么。
“這些設(shè)備已從移動電話轉(zhuǎn)移到你口袋中的實際計算機中,” Hering說,“移動寬帶和移動數(shù)據(jù)使用的激增主要是由應(yīng)用程序和瀏覽網(wǎng)頁所驅(qū)動的,現(xiàn)在對安全的實際需求和人們使用的設(shè)備的整體狀況已經(jīng)從根本上發(fā)生了變化。”
Hering說,定位數(shù)據(jù)、移動設(shè)備可識別信息和其他使用模式正在被應(yīng)用程序收集,大多數(shù)用戶會認為是無害的。例如,兩名研究人員發(fā)現(xiàn)了一個簡單的桌面應(yīng)用程序,旨在在設(shè)備的主屏幕上放圖片,收集位置數(shù)據(jù)。此外,兩位移動安全專家打算展示可以在移動設(shè)備上利用的新漏洞。
本周Mahaffey、Hering和數(shù)百位安全研究人員將在美國拉斯維加斯參加為期兩天的黑帽2010簡報會(7月28—7月29日)。雖然研究人員計劃在黑帽大會上展示基于移動的攻擊,并發(fā)布隱私威脅,整個會議的主方向還是基礎(chǔ)設(shè)施威脅。幾位研究人員計劃強調(diào)SCADA系統(tǒng)(用于管理發(fā)電廠、化學煉油廠和其他關(guān)鍵設(shè)施中的系統(tǒng)的基礎(chǔ)軟件)弱點。Red Tiger Security的創(chuàng)始人和首席顧問Jonathan Pollet將展示對可以讓黑客進入電網(wǎng)網(wǎng)絡(luò)層的漏洞的研究結(jié)果。
此外,研究人員將展示SSL(網(wǎng)站為保護數(shù)據(jù)所采用的傳輸層加密協(xié)議)的弱點。三名安全專家Elie Bursztein、Baptiste Gourdin和Gustav Rydstedt將演示如何攻擊存儲機制來篡改一個SSL會話。Qualys公司SSL實驗室的Ivan Ristic將展示他的研究結(jié)果,即通過分析SSL使用來記錄配置錯誤。
“SSL是最安全的協(xié)議之一,它是互聯(lián)網(wǎng)安全的中堅力量,但我們很少有時間來研究它的使用情況,并幫助廣大用戶正確地配置并使用它,” Ristic說,“不知怎的,最近幾年我們總是偏離軌道,去尋求其他的安全問題。”
Web應(yīng)用安全
黑帽大會2010議程中有許多關(guān)于確保定制的或現(xiàn)成的Web應(yīng)用程序安全的會談和指導(dǎo)。自主開發(fā)或定制的代碼一直很難過安全這一關(guān),主要是因為市場對應(yīng)用程序的急切需求。
第三方代碼又如何呢?Widgets(小部件)、應(yīng)用程序和廣告模塊是許多Web應(yīng)用程序的固定裝備,其代碼由第三方提供商提供。這些第三方應(yīng)用程序一般會成為攻擊者的攻擊目標,尤其是當應(yīng)用程序添加有旅游、娛樂、出版和科技網(wǎng)站功能時。即使是敏感行業(yè)的網(wǎng)站,如醫(yī)療或金融服務(wù),他們也會使用第三方應(yīng)用程序或部件來給用戶提供更多的功能。
Palto Alto的聯(lián)合創(chuàng)始人兼CTO Neil Daswani說“關(guān)于這些漏洞有一點要說明的是,它們不容易修復(fù)。如果你有一個跨站點腳本漏洞或SQL注入問題,你要盡快對它們進行更新。如果你使用的是受感染的Javascript小工具,會發(fā)生什么呢?作為網(wǎng)站所有者,您需要在客戶被感染和搜索引擎抓取受感染網(wǎng)站之前了解這些問題,并關(guān)閉你的網(wǎng)站。”
基于Web的反惡意軟件公司Dasient將在黑帽大會上展示網(wǎng)站中三個最關(guān)鍵的結(jié)構(gòu)漏洞。Daswani將談?wù)撍墓驹贘avascript小工具、第三方廣告服務(wù)和第三方應(yīng)用軟件中發(fā)現(xiàn)的漏洞和問題。
Daswani表示,通常情況下,這個問題歸結(jié)于信任。例如,小部件供應(yīng)商可能會是攻擊者偽裝成的供應(yīng)商,該Widget(小部件)可能已經(jīng)受到感染;或者可以使用DNS緩存中毒來將網(wǎng)站訪問者重定向到攻擊網(wǎng)站。這項研究還指出,與第三方廣告也可服務(wù)于惡意軟件或?qū)⒂脩糁囟ㄏ虻焦艟W(wǎng)站。主要的原因是,廣告商有多個合作伙伴,很有可能的是某個或所有合作伙伴都沒有審核廣告內(nèi)容的安全性。第三方應(yīng)用程序還可能利用網(wǎng)站訪問者與網(wǎng)站之間的信任。應(yīng)用程序可能會受到基于Web的攻擊(如SQL注入或跨站腳本);主網(wǎng)站需要確保供應(yīng)商審查代碼,以防安全漏洞。
Daswani說,“提高安全意識是很重要的。Web 2.0很好,但是在加入更多的功能和結(jié)構(gòu)的時候,要確保減輕風險,并保持監(jiān)測,這一點很重要。”
【編輯推薦】
