揭秘315黑客wifi,如何保障APP数据安全
315晚会上曝光WIFI安全,演示微信、邮箱当场被黑,隐私密码都被披露,风险无处不在。对用户来说,阿里移动安全已经支招:1,不接入无密码或无手机验证码的WiFi;2,手机不ROOT、不越狱;3,正规应用商店下载官网APP;4,不在陌生APP上提交个人重要信息;5,装一个安全软件,如阿里钱盾;6,养成健康、良好的上网习惯等。而对于开发者来说,怎样更好的设计移动App来防护WIFI被劫持后的攻击呢?
黑客WIFI下的攻击原理
攻击者针对WIFI的攻击,一般通过中间人攻击,在中间人攻击过程中,正常APP应用经过WIFI的路径:
被黑客劫持,攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,通过中间人攻击,攻击者可以进行HTTP或其他明文协议敏感信息的窃取,HTTPS通信破解,DNS劫持等:
移动应用环境中针对HTTP或其他明文协议如POP3,SMTP,FTP,可通过各种代理、嗅探工具与PC环境下一样,嗅探所有明文协议的通信。并且攻击者也能对HTTPS进行攻击,这些攻击一般有:
1, 通过SSL分离+HTTPS->重定向等方式对HTTPS进行攻击,
SSL分离+HTTPS->重定向的原理就是:
- ARP欺骗,使得攻击者能截获所有目标主机的网络流量
- 攻击者利用用户对于地址栏中HTTPS与HTTP的疏忽,将所有的HTTPS连接都用HTTP来代替
- 同时,与目标服务器建立正常的HTTPS连接
- 由于HTTP通信是明文传输,攻击者能轻松实施嗅探
现成工具比如ssltrip,dSploit,zANTi都可实施此类攻击。
2,利用客户端不校验SSL证书(包含签名CA是否合法、域名是否匹配、是否自签名证书、证书是否过期):
该问题往往由几种编码错误情况引起:
-自实现的不校验证书的X509TrustManager接口 (即将checkServerTrusted()方法实现为空,即不检查服务器是否可信);
-不检查站点主机域名与证书中的域名是否匹配(即将HostnameVerifier.verify()函数直接返回true接受任意主机域名)
-使用setHostnameVerifier (ALLOW_ALL_HOSTNAME_VERIFIER)接受任意主机域名;
-当使用webview加载HTTPS网页时,覆盖重写Android系统WebViewClient类中的onReceivedSslError()函数,直接忽略证书校验失败并接受任意证书.
黑客wifi攻击解决方案
既然信息劫持有时不可避免,开发者更要责无旁贷保护用户,阿里移动安全 建议开发者不要用HTTP协议来传输敏感信息,在使用HTTPS进行通信时,切记不要同时支持HTTP。如果非得使用HTTP协议来传送敏感信息,使用聚安全SDK组件对输入数据进行加密。
开发者还可以使用聚安全SDK组件更多秘籍:通过审核审计,安全加固,对SSL证书进行强校验;通过数据加密,在WIFI劫持情况下也不影响敏感信息泄露;通过安全签名,在WIFI劫持的情况下保证会话完整性,数据不被篡改或者伪造。保证WIFI被劫持的情况下最大限度的降低风险:
文章分类
- 技术研究
- 安全资讯
- 安全报告
- 安全漏洞
- 病毒分析
- 活动沙龙
社区热门
- 技术研究
- 安全资讯
- 安全报告
- 安全漏洞
- Android安全开发之Provider组件安全3.3k
- Android安全开发之浅谈密钥硬编码3.7k
- 微信双开是定时炸弹?关于非越狱iOS上微信分身高危插件ImgNaix的分析3.1k
- 你的应用是如何被替换的,App劫持病毒剖析3.3k
- APK瘦身记,如何实现高达53%的压缩效果8.7k
标签
- 短信
- 积分兑换
- 仿冒应用
- 漏洞分析
- 漏洞预警
- 年度报告
- 安全报告
- 病毒分析
- 阿里聚安全
友情链接
- 阿里巴巴集团
- 阿里云计算
- 淘宝网
- 天猫
- 支付宝
- 阿里钱盾
揭秘315黑客wifi,如何保障APP数据安全相关推荐
- 可怕!315 曝光 50 多款App“窃听”:这条黑色产业链,有人靠你的隐私年赚千万...
文 | 杨丽 编辑 | 李阳阳 来源 | 创业邦(ID:ichuangyebang) 2020年315晚会点名多款APP上演"窃听风云",违规盗取个人隐私信息,让人不寒而栗! 它们 ...
- 台积电9月14日起不向华为供货;315曝光50多款App涉嫌内置SDK窃取隐私;Micronaut 1.3.7发布 | 极客头条...
整理 | 伍杏玲 头图 | CSDN 下载自东方 IC 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 一分 ...
- 开户功能遭入侵攻击,银行 App 数据安全如何保护?
2019 年 10 月,00 后田某因非法获取计算机信息系统数据罪判处有期徒刑三年,并处罚金人民币一万元.当事人田某只有初中文化,但却拥有极强的计算机天赋,在 2019 年 1 月 5 日到 1 月 ...
- 顶象端加固保障App安全与合规
随着数字化的普及,各类App的功能愈加丰富,相关的风险事件和违规现象也越来越多.监管部门对保障App用户合法权益非常重视,自2019年来,联合开展App专项整治工作,与App治理相关的法律文件也相继出 ...
- 315 曝光 50 多款App“窃听”:这条黑色产业链,有人靠你的隐私年赚千万
文 | 杨丽 编辑 | 李阳阳 来源 | 创业邦(ID:ichuangyebang) 2020年315晚会点名多款APP上演"窃听风云",违规盗取个人隐私信息,让人不寒而栗! 它们 ...
- Dataphin核心功能(四):安全——基于数据权限分类分级和敏感数据保护,保障企业数据安全
简介: <数据安全法>的发布,对企业的数据安全使用和管理提出了更高的要求.Dataphin提供基于数据分级分类和数据脱敏的敏感数据识别和保护能力,助力企业建立合规的数据安全体系,保障企业数 ...
- 华为云灾备方案,如何保障企业数据安全
随着信息化时代的到来,传统企业业务系统已不再适用现代化企业办公需求,为提升企业办事效率,各大企业开始着手构建数字信息化系统以加强自身竞争力.然而,数字化办公在不断提升企业办公效率的同时也会带来弊端. ...
- 防黑客攻击手法之APP安全防护
在当今数字时代,移动应用的数量呈爆炸性增长,涵盖金融.电子商务.社区.医疗.房地产.工业等各行各业.在给人类带来便利的同时,也给黑客带来了可乘之机,移动黑产也越来越强大,他们的重点是从传统的PC网站转 ...
- 安卓端一键自动设置WiFi代理的APP,配合Fiddler、Burp、Charles等抓包工具使用,懒人必备!
本文为原创文章,转载请注明出处!!! 前言 在安卓逆向.软件测试等工作过程中,使用Fiddler.Burp.Charles等抓包工具,需要经常设置和取消手机的WiFi代理. 因为一个字"懒& ...
最新文章
- CentOS 6 时间,时区,设置修改及时间同步
- python小游戏代码大全-python简单小游戏代码 怎么用Python制作简单小游戏
- 解决windows找不到D:launcher\launcher.exe的方法
- Network Service 权限问题
- 大二计算机应用基础1200体会,计算机应用基础1200题.doc
- UVA494 Kindergarten Counting Game
- 对离散点进行积分的python程序实现_Stochastic Calculus(Python)(四)
- 数据库常见面试题汇总
- 美团面试官:Java 性能调优你会多少?一个问题就把我问的哑口无言,哭了
- python修改ppt的字体和颜色,PPT小技巧:批量修改文字颜色,批量替换字体
- 成功解决Cannot uninstall 'pywin32'. It is a distutils installed project and thus we cannot accurately de
- 年薪15万的80后小本科:只要6分钟,告诉你少走6年弯路
- 删除idb无法启动 mysql 数据库
- 建立时间保持时间及违例如何处理,求最大时钟频率
- 全解MySQL之架构篇:自顶向下深入剖析MySQL整体架构
- 微信公众号运营的七大问题,你遇到了吗?
- 彩色蟒蛇绘制。对 Python 蟒蛇的每个部分采用不同颜色,绘制一条彩色蟒蛇。
- linux图像显示(五)使用freetype处理矢量字体
- java_进阶:Map、自动装箱拆箱
- 分类-3-生成学习-3-朴素贝叶斯模型、laplace平滑、多元伯努利事件模型、多项式事件模型
热门文章
- CRC 冗余校验计算
- Django Model出现的中文问题
- C#网络编程之 UDP编程
- catkin_make 只编译一个包
- 图像色彩空间之RGB与HSI
- 必背单词_考研英语语法如何高效自学? 真题必背单词Day12
- ps切图后 JAVA开发_2018年设计师都在用的PS切图插件--摹客
- php和全栈,php与h5全栈工程师是什么意思
- php 生产环境 测试环境 同步,开发 RoR PHP Project,测试环境、生产环境部署相关问题...
- php 未找到驱动程序,Laravel 5 PDOException找不到驱动程序