信息來源：FreeBuf 

前言

過去的2015“雙十一”，天貓最終以912.17億元的交易額創(chuàng)下驚人紀(jì)錄。值得注意的是，天貓移動端交易額為626億元，占比達(dá)68.67%，遠(yuǎn)超PC端交易規(guī)模。這預(yù)示著電子商務(wù)的移動時代真正到來，移動端正式成為與PC端并駕齊驅(qū)的主流渠道。到目前為止，以天貓為代表的在線購物市場及以攜程為代表的在線旅游市場，都出現(xiàn)移動端交易量快速增長的趨勢。

移動互聯(lián)網(wǎng)火熱，APP使用量呈現(xiàn)爆發(fā)式增長，但移動APP安全卻存在巨大的安全隱患。沃通CA針對一些熱門APP檢測的綜合結(jié)果顯示，90%以上的APP未使用HTTPS加密連接；已啟用HTTPS連接的頁面，98%不校驗證書鏈和證書簽發(fā)者，甚至不驗證證書域名是否匹配。本文以主流在線購物和在線旅游APP的檢測結(jié)果為例，從用戶數(shù)據(jù)傳輸安全角度，探討APP安全問題。

沃通CA互聯(lián)網(wǎng)安全監(jiān)測中心對主流在線購物和在線旅游APP進(jìn)行檢測發(fā)現(xiàn)：

(1)攜程、藝龍APP均全站未啟用HTTPS加密，超千萬用戶數(shù)據(jù)HTTP明文“裸奔”；
(2)天貓APP的HTTPS連接沒有校驗證書鏈和證書簽發(fā)者，極容易被黑客劫持加密流量，竊取用戶名密碼以及銀行卡號等機密信息；
(3)途牛、阿里旅行等在線旅游APP，HTTPS連接均沒有校驗證書鏈和證書簽發(fā)者。

攜程APP超千萬用戶數(shù)據(jù)明文“裸奔”

比達(dá)咨詢2015年4月手機APP用戶監(jiān)測數(shù)據(jù)顯示，攜程APP月活躍用戶數(shù)超1900萬，藝龍APP月活躍用戶近400萬。但這兩款A(yù)PP都采用全站HTTP明文傳輸協(xié)議，這意味著，攜程、藝龍APP上超兩千萬用戶數(shù)據(jù)都以明文方式在互聯(lián)網(wǎng)上“裸奔”，通過簡單的代理抓包工具就可以捕獲APP傳輸數(shù)據(jù)，其中可能包含用戶的賬號密碼、身份證號、手機號、真實姓名、酒店預(yù)訂記錄、出行記錄等隱私信息。

攜程APP全站明文傳輸

藝龍APP傳輸數(shù)據(jù)，明文泄漏用戶手機號

天貓APP的HTTPS不校驗證書鏈和證書頒發(fā)者

阿里旗下的淘寶和天貓均在今年啟用了全站HTTPS加密，天貓APP除了部分頁面和CDN外，基本上實現(xiàn)了全站HTTPS加密訪問。但經(jīng)過測試發(fā)現(xiàn)，天貓APP的HTTPS根本不會校驗證書鏈和證書頒發(fā)者，通過簡單的DNS劫持和自簽證書就能夠獲取到用戶APP傳輸?shù)募用軘?shù)據(jù)。

從下面2張圖可以看出，通過自簽SSL證書和虛假服務(wù)器，對天貓APP進(jìn)行ARP欺騙和DNS欺騙，就可以使天貓APP客戶端與虛假服務(wù)器成功建立連接，并使用自簽SSL證書加密傳輸數(shù)據(jù)。這個漏洞一旦被黑客利用，將對用戶隱私和資金安全造成嚴(yán)重威脅。

天貓APP與虛假服務(wù)器成功建立連接

天貓APP與虛假服務(wù)器完成SSL握手

主流旅游APP僅部分頁面啟用HTTPS

途牛、阿里旅行等APP都只在部分頁面啟用HTTPS，其他頁面均為明文傳輸；HTTPS均沒有校驗證書鏈和證書頒發(fā)者，同樣可以通過欺騙手段，利用自簽SSL證書和虛假服務(wù)器獲取到用戶APP傳輸?shù)募用軘?shù)據(jù)。

途牛APP與虛假服務(wù)器成功建立連接

阿里旅行APP與虛假服務(wù)器成功建立連接

超過90%以上APP未啟用HTTPS加密

除了上述在線購物和在線旅游APP以外，沃通CA還對其他熱門APP程序進(jìn)行了檢測，其中包括網(wǎng)銀APP。綜合結(jié)果顯示，超過90%以上的APP未使用HTTPS加密連接；已啟用HTTPS連接的頁面中，98%不校驗證書鏈和證書頒發(fā)者，有些甚至不驗證證書域名是否匹配。

總結(jié)

SSL加密認(rèn)證技術(shù)是互聯(lián)網(wǎng)最基礎(chǔ)的安全防護(hù)措施，所有APP開發(fā)者都應(yīng)重視。蘋果iOS9系統(tǒng)已經(jīng)明確要求APP強制升級使用HTTPS協(xié)議，可見HTTP明文傳輸?shù)陌踩珕栴}已經(jīng)異常嚴(yán)重。沃通CA呼吁：APP開發(fā)者一定要為APP服務(wù)器部署全球信任的SSL證書，通過HTTPS加密防止數(shù)據(jù)泄露，通過SSL認(rèn)證防止中間人欺騙和劫持，保護(hù)用戶數(shù)據(jù)傳輸安全。

*本文由沃通WoSign依據(jù)真實檢測數(shù)據(jù)分析整理，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）