由Heartbleed漏洞引发的应用登录危机

By | 2014年4月11日

2014年4月7日OpenSSL发布重大安全公告,在OpenSSL1.0.1至1.0.1f版本中存在严重漏洞(CVE-2014-0160),该漏洞能使攻击者获取多达64K内存数据,并可能造成用户登录信息、密码、cookie信息等重要信息的泄露。而攻击者对网站反复进行内存数据获取就可能累计大量有效信息。这个漏洞之严重,被广泛称为心脏出血漏洞。

AVL移动安全团队随后对漏洞细节进行分析,特别是对移动应用的登录认证方式做了集中分析,发现大量热门移动应用的登录入口使用https协议,并且多数由OpenSSL搭建,可能存在相关漏洞,在近期用户手机客户端登陆过这些站点的用户也均存在用户名密码信息泄漏的风险。需要在漏洞修复后及时修改密码。并且AVL移动安全团队还发现多个热门应用还存在使用http协议明文上传用户名和登录验证信息,在假Wi-Fi热点、无线Sniffer泛滥的今天,攻击者能轻易截获用户的用户名密码信息。

其中发现街旁网登录域名在4月10日仍然存在Heartbleed漏洞,可能导致用户使用其移动客户端登录时会有登录信息泄露风险,随后,该网站修复了此漏洞。

还有中国联通沃商店客户端涉及登录域名存在Heartbleed漏洞。

54914BF7-60EA-4A65-BEF6-4326429FC85A

可能造成登录用户用户名、密码以及cookie信息的泄露:

2B28A090-CB69-4EA3-9C28-60E5F5989A81

还有很多热门应用采用非加密方式进行登录验证,其中,很遗憾的发现热门应用大众点评存在明文上传登录用户名和密码行为:

07C96E5F-153A-4B05-9D85-2F63F271E336

还有国内著名电商网站京东的移动客户端在登录和注册界面存在明文上传用户名和登录信息的行为:

device-2014-04-10-170350device-2014-04-10-170426

D33F0D51-F2EC-4DF6-BC6C-777A61E7FB8A

这里登录的loginpwd信息为密码的md5值,而没有进行任何加盐处理。还有人以为MD5是单向算法所以保存口令是安全的,实际上早在几年前,14位以下字符串的MD5就已被制作成彩虹表,成为了攻击者的标配。即不需要通过暴力破解,而可以通过查表方式“秒破”。同时也没有看到这个登录过程做了有效的抗重放攻击的处理。

用户可以下载安装最新版的AVL Pro和登录漏洞检测插件对手机中应用是否存在登录信息泄露风险进行检测。

device-2014-04-10-223624device-2014-04-10-231354device-2014-04-10-231344

后记

AVL移动安全团队随后还发现部分热门站点针对移动设备的Web访问入口,均存在明文上传用户名和密码的情况,手机用户应该尽量避免在手机连接公共Wifi的情况下在手机浏览器上直接访问一些热门站点,以免登录信息被窃取。

doubanrenren

发表评论

电子邮件地址不会被公开。 必填项已用*标注