黑帽大会2010:移动威胁、SSL弱点和Web应用程序漏洞

日期: 2010-07-27 作者:Robert Westervelt and Michael S. Mimoso翻译:曾芸芸 来源:TechTarget中国 英文

随着智能手机越来越普及,用户越来越信任其设备上运行的应用程序。但是,有两个安全研究人员计划在黑帽大会2010上展示在移动设备上运行的许多应用程序有错误,获得的的资料远远超过本身所需,并可能包含窃取敏感数据所需的漏洞。   移动安全公司Lookout的Kevin Mahaffey和John Hering花了几个月时间来对从谷歌Android市场和Apple App商店上免费获得的30万个应用程序进行分析。这两位研究者表示智能手机用户应该对他们正在使用的应用程序持怀疑态度。

虽然许多应用程序是由信任的公司(如eBay和Amazon.com)创建和备份的,并且通常具有较高的质量,但是那些由第三方开发商……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

随着智能手机越来越普及,用户越来越信任其设备上运行的应用程序。但是,有两个安全研究人员计划在黑帽大会2010上展示在移动设备上运行的许多应用程序有错误,获得的的资料远远超过本身所需,并可能包含窃取敏感数据所需的漏洞。

  移动安全公司Lookout的Kevin Mahaffey和John Hering花了几个月时间来对从谷歌Android市场和Apple App商店上免费获得的30万个应用程序进行分析。这两位研究者表示智能手机用户应该对他们正在使用的应用程序持怀疑态度。虽然许多应用程序是由信任的公司(如eBay和Amazon.com)创建和备份的,并且通常具有较高的质量,但是那些由第三方开发商开发的应用程序一般有伪劣记录。有证据表明许多开发商都在复制和粘贴代码,甚至没有真正弄明白这些应用程序能做什么。

  “这些设备已从移动电话转移到你口袋中的实际计算机中,” Hering说,“移动宽带和移动数据使用的激增主要是由应用程序和浏览网页所驱动的,现在对安全的实际需求和人们使用的设备的整体状况已经从根本上发生了变化。”

  Hering说,定位数据、移动设备可识别信息和其他使用模式正在被应用程序收集,大多数用户会认为是无害的。例如,两名研究人员发现了一个简单的桌面应用程序,旨在在设备的主屏幕上放图片,收集位置数据。此外,两位移动安全专家打算展示可以在移动设备上利用的新漏洞。

  本周Mahaffey、Hering和数百位安全研究人员将在美国拉斯维加斯参加为期两天的黑帽2010简报会(7月28—7月29日)。虽然研究人员计划在黑帽大会上展示基于移动的攻击,并发布隐私威胁,整个会议的主方向还是基础设施威胁。几位研究人员计划强调SCADA系统(用于管理发电厂、化学炼油厂和其他关键设施中的系统的基础软件)弱点。Red Tiger Security的创始人和首席顾问Jonathan Pollet将展示对可以让黑客进入电网网络层的漏洞的研究结果。

  此外,研究人员将展示SSL(网站为保护数据所采用的传输层加密协议)的弱点。三名安全专家Elie Bursztein、Baptiste Gourdin和Gustav Rydstedt将演示如何攻击存储机制来篡改一个SSL会话。Qualys公司SSL实验室的Ivan Ristic将展示他的研究结果,即通过分析SSL使用来记录配置错误。

  “SSL是最安全的协议之一,它是互联网安全的中坚力量,但我们很少有时间来研究它的使用情况,并帮助广大用户正确地配置并使用它,” Ristic说,“不知怎的,最近几年我们总是偏离轨道,去寻求其他的安全问题。”

  Web应用安全

  黑帽大会2010议程中有许多关于确保定制的或现成的Web应用程序安全的会谈和指导。自主开发或定制的代码一直很难过安全这一关,主要是因为市场对应用程序的急切需求。

  第三方代码又如何呢?Widgets(小部件)、应用程序和广告模块是许多Web应用程序的固定装备,其代码由第三方提供商提供。这些第三方应用程序一般会成为攻击者的攻击目标,尤其是当应用程序添加有旅游、娱乐、出版和科技网站功能时。即使是敏感行业的网站,如医疗或金融服务,他们也会使用第三方应用程序或部件来给用户提供更多的功能。

  Palto Alto的联合创始人兼CTO Neil Daswani说“关于这些漏洞有一点要说明的是,它们不容易修复。如果你有一个跨站点脚本漏洞或SQL注入问题,你要尽快对它们进行更新。如果你使用的是受感染的Javascript小工具,会发生什么呢?作为网站所有者,您需要在客户被感染和搜索引擎抓取受感染网站之前了解这些问题,并关闭你的网站。”

  基于Web的反恶意软件公司Dasient将在黑帽大会上展示网站中三个最关键的结构漏洞。Daswani将谈论他的公司在Javascript小工具、第三方广告服务和第三方应用软件中发现的漏洞和问题。

  Daswani表示,通常情况下,这个问题归结于信任。例如,小部件供应商可能会是攻击者伪装成的供应商,该Widget(小部件)可能已经受到感染;或者可以使用DNS缓存中毒来将网站访问者重定向到攻击网站。这项研究还指出,与第三方广告也可服务于恶意软件或将用户重定向到攻击网站。主要的原因是,广告商有多个合作伙伴,很有可能的是某个或所有合作伙伴都没有审核广告内容的安全性。第三方应用程序还可能利用网站访问者与网站之间的信任。应用程序可能会受到基于Web的攻击(如SQL注入或跨站脚本);主网站需要确保供应商审查代码,以防安全漏洞。

  Daswani说,“提高安全意识是很重要的。Web 2.0很好,但是在加入更多的功能和结构的时候,要确保减轻风险,并保持监测,这一点很重要。”

相关推荐