Android HTTPS中間人劫持漏洞描述
在密碼學(xué)和計(jì)算機(jī)安全領(lǐng)域中����,中間人攻擊 ( Man-in-the-middle attack��,通�����?s寫(xiě)為MITM )是指攻擊者與通訊的兩端分別創(chuàng)建獨(dú)立的聯(lián)系�����,并交換其所收到的數(shù)據(jù),使通訊的兩端認(rèn)為他們正在通過(guò)一個(gè)私密的連接與對(duì)方直接對(duì)話(huà)����,但事實(shí)上整個(gè)會(huì)話(huà)都被攻擊者完全控制。在中間人攻擊中�����,攻擊者可以攔截通訊雙方的通話(huà)并插入新的內(nèi)容�����。
Android HTTPS中間人攻擊漏洞源于:
1. 沒(méi)有對(duì)SSL證書(shū)進(jìn)行校驗(yàn)�����;
2. 沒(méi)有對(duì)域名進(jìn)行校驗(yàn)�����;
3. 證書(shū)頒發(fā)機(jī)構(gòu)(Certification Authority)被攻擊導(dǎo)致私鑰泄露等����。攻擊者可通過(guò)中間人攻擊,盜取賬戶(hù)密碼明文���、聊天內(nèi)容��、通訊地址��、電話(huà)號(hào)碼以及信用卡支付信息等敏感信息�����,甚至通過(guò)中間人劫持將原有信息替換成惡意鏈接或惡意代碼程序�����,以達(dá)到遠(yuǎn)程控制����、惡意扣費(fèi)等攻擊意圖���。
在各大漏洞平臺(tái)上�,有大量存在HTTPS證書(shū)不校驗(yàn)漏洞��,例如國(guó)內(nèi)絕大部分Android APP存在信任所有證書(shū)漏洞���、亞馬遜最新官方Android版存在一處信任所有證書(shū)漏洞����、Yahoo雅虎在國(guó)內(nèi)訪問(wèn)遭遇SSL中間人攻擊、攜程旅游網(wǎng)最新Android客戶(hù)端https未校驗(yàn)證書(shū)導(dǎo)致https通信內(nèi)容完全被捕獲����。
影響范圍
Android系統(tǒng)
漏洞分析
1)中間人攻擊漏洞位置:
X509TrustManager 、HostnameVerifier ��、 setHostnameVerifier (X509HostnameVerifier hostnameVerifier)
2) 漏洞觸發(fā)前提條件:
自定義的X509TrustManager不校驗(yàn)證書(shū)���;
或?qū)崿F(xiàn)的自定義HostnameVerifier不校驗(yàn)域名接受任意域名�����;
或使用setHostnameVerifier (ALLOW_ALL_HOSTNAME_VERIFIER)�;
3) 漏洞原理:
由于客戶(hù)端沒(méi)有校驗(yàn)服務(wù)端的證書(shū)���,因此攻擊者就能與通訊的兩端分別創(chuàng)建獨(dú)立的聯(lián)系�����,并交換其所收到的數(shù)據(jù)����,使通訊的兩端認(rèn)為他們正在通過(guò)一個(gè)私密的連接與對(duì)方直接對(duì)話(huà),但事實(shí)上整個(gè)會(huì)話(huà)都被攻擊者完全控制����。在中間人攻擊中,攻擊者可以攔截通訊雙方的通話(huà)并插入新的內(nèi)容����。
小編推薦閱讀
