创意安天

 找回密码
 注册创意安天

关于手机客户端登陆安全检查插件的开发与吐槽

[复制链接]
发表于 2014-4-11 22:39 | 显示全部楼层 |阅读模式
插图.jpg




2014年4月7日OpenSSL发布重大安全公告,在OpenSSL1.0.1至1.0.1f版本中存在严重漏洞(CVE-2014-0160),该漏洞能使攻击者获取多达64K内存数据,并可能造成用户登陆信息、密码、cookie等重要信息的泄露。而攻击者对网站反复进行内存数据获取就可能累计大量有效信息。这个漏洞之严重,被同行们称为“心脏出血”。
我们移动安全团队随后对漏洞分布情况进行了判断,特别是对移动应用的登陆认证方式做了集中分析,发现大量热门移动应用的登陆入口使用Https协议,并且多数由OpenSSL搭建,而且存在相关漏洞,在近期用户手机客户端登陆过这些站点的用户也均存在用户名密码信息泄漏的风险。需要在漏洞修复后及时修改密码。而我们则希望帮助用户更便利的知道手机上哪些应用还存在风险,哪些已经安全,可以去修改密码了。
但同时,我们希望用户看到,尽管这次OpenSSL漏洞非常严重,如同防盗门没有拔下钥匙,但其采用的Https作为一个通用的加密通讯协议是网络安全的一个基础和保障,在假Wi-Fi热点、无线Sniffer泛滥的今天,采用明文Http协议进行登陆认证才是不安房门的裸奔行为。
因此我们想到开发一个登陆安全检测插件,帮用户检测自己手机上的应用登陆过程是否安全,并非裸奔、是否还面临“心脏出血”,我们把这个插件作为我们之前在Google Play上发布的Android应用专业诊断工具AVL Pro的默认插件,随同新版本升级。
我们目前的实现还十分粗糙,我们是基于自身分析验证的结果,将我们分析过的客户端软件的登陆安全情况,做成了一个对应信息列表,再客户端进行比对检查。因此我们没有分析过的那些应用,就无法识别其登陆安全,我们会尽快提供一个提交验证的交互,对有较多用户提交验证的软件,分析验证,升级规则。
1.png 2.png 3.png
     
用户可以扫描下面的二维码下载安装最新版的AVL Pro和登陆漏洞检测插件。
提示:部分微信版本扫描二维码后可能不会直接下载,建议使用具有下载功能的二维码APP(UC浏览器、海豚浏览器、手机百度等)扫描下载AVL Pro及插件,以快速检测漏洞。
注意:需要先安装AVL Pro,否则插件无法使用。

AVL Pro下载链接:http://cdn.update.avlyun.com/AvlPro/avlpro.apk
avlpro.png

AVL Pro登陆漏洞检测插件下载地址:http://cdn.update.avlyun.com/AvlPro/1006.apk
1006.png


----下面是吐槽时间----
听说大BOSS江海客在参加一个封闭会议,两天内不会上网,因此俺(俺是安天AVL 团队的小文)决定冒着被开除的风险吐个槽哦!
这次我们遗憾的发现了国内某著名电商网站的移动客户端在登陆和注册界面存在基于明文协议的用户名和密码验证的行为。
   device-2014-04-10-170350副本.jpg device-2014-04-10-170426副本.jpg 6.png

这里登陆的loginpwd信息为密码的md5值,而没有进行任何加盐处理。还有人以为MD5是单向算法所以保存口令是安全的,实际上早在几年前,14位以下字符串的MD5就已被制作成彩虹表,成为了攻击者的标配。即不需要通过暴力破解,而可以通过查表方式“秒破”。同时我们也没有看到这个登陆过程做了有效的抗重放攻击的处理。

唉,明文已经不可原谅了,而如果没有加盐,后台密码存储的安全也可想而知,对于怎么加盐,其实可以看看安天在那年脱库门后发布的开源项目Antiy password-mixer哦。

天啊,可以还有更可恨的,还有一个小文非常喜欢的应用居然用户名和密码都是明文传输的,连MD5都没有…

7.png


小文最后要自己吐槽的是AVL Pro操作起来太难用了,据说这是安天的传统,555555…..


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-28 18:28

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表