當趨勢科技的研究小組在進行腦力激盪,試圖找出值得研究的計劃時,有人提到手機 App 程式其實骨子裡就是一個「經過包裝的瀏覽器」。
請容我娓娓道來。當您打開您最愛的 App 程式,它很可能會連上某個網站,然後以某種方式呈現所取得的資料。當然,並非所有手機 App 程式都會這麼做,只不過絕大部分是如此。我所說的並不侷限於 Amazon 或 eBay 的 App 程式 (這些當然看起來像瀏覽器,只不過查詢的對象僅限於他們的特定伺服器而已),還有像 Flipboard 這類的 App 程式也是。我很喜歡 Flipboard,但骨子裡,它只不過是連上 Facebook 和Twitter,然後用漂亮的方式來呈現內容而已 (好吧,它非常漂亮)。
這樣的情況會不會讓 App 程式更容易遭遇到一般瀏覽器不會遇到的狀況 (也就是不可預期的行為) 呢?例如,如果某個 App 程式會發送制式化的請求到特定的網站,是不是會有人利用這一點來操弄這個 App 程式或這個網站呢?
我針對這一點展開了研究,並且建立了一個環境來窺探所有進出 Android 和 iPhone/iPad 行動裝置 App 程式的網路流量。我測試了很多 App 程式,查看它們的流量,看看是否有些漏洞可以利用,結果我真的有所發現。
我的朋友推薦了一個顯然非常熱門的資源管理遊戲。這個遊戲每星期都會提供一份獎品給遊戲玩家。但現在他們已經取消了這項作法,這有可能是我的錯 (儘管我從未直接和他們聯繫)。這項機制的運作方式大致如下:如果您在遊戲開發廠商的 Facebook 網頁上按「讚」,他們就會提供一個密碼給你,該密碼可在特定的周末解開某些隱藏的資源。每周末都會換一組新的密碼,該密碼只在那二天有效。
如果您在遊戲開發廠商的 Facebook 網頁上按「讚」,他們就會提供一個密碼給你,該密碼可在特定的周末解開某些隱藏的資源
這項機制的技術實作採用了很簡單的 HTTP 請求:「這是密碼」,伺服器的回應也很簡單:「這是你的 10 份黃金和 10 份食物,謝謝。」換句話說,您只要透過簡單且未加密的 HTTP 請求,就能從外部操弄該遊戲。當然,要在實驗內將遊戲伺服器導向一台假冒的本地端伺服器,然後將回應給遊戲的內容改成「這是你的 10000 份黃金和 1000 份食物」只不過是小事一樁。要是我有機會再遇到我的朋友,並且給他看看我的遊戲進度,他一定會嚇死。
這次的迷你攻擊給了我們一個顯而易見的啟示:缺乏保護的制式化 HTTP 通訊不值得信賴。
其他 App 程式還有一些其他的問題,例如,某個專門銷售 Android 專用健身課程的程式。這些課程包含了一些運動項目的說明、圖片、教練解說,以及一些指示、計時方式和課程順序。所有的資料都存放在一個 XML 檔案當中,並且透過連結來指向每個圖片和聲音檔。沒錯,你猜對了,這個 XML 是透過未加密的 HTTP 通訊下載。我大可以猜一下這個 XML 檔案的名稱,就可能下載到這個檔案,不過我沒試。
我還看到了一些其他的問題,但整個實驗計劃讓我最困擾的要把我的發現寫下來。我發現的問題實在是五花八門,而且跟任何網站入侵測試實在沒什麼兩樣。所以,雖然用戶端是行動裝置應用程式,但實際上我卻是看到了許多不安全的網站程式碼。畢竟,如同我一開始所說:所有的行動裝置 App 程式基本上都是網站的用戶端,因此也像瀏覽器一樣不安全,您也應該這樣看待。
這麼說,我的計劃失敗了嗎?或許吧,但也讓我知道 App 程式開發人員以及我們應如何看待這些程式,那就是:它們只不過是包裝精美但卻不安全的瀏覽器而已。
◎原文來源:
Apps as Browsers: Can You Trust Your Mobile Apps?)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能
迷思:「Google 會檢查所有上架的手機應用程式,因此我應該很安全才對。」
Android裝置上的七種惡意軟體類型與排行
熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大
Android – 更潮就更危險!六個Android 主要威脅與安全守則
天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費
「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件
假 Android 版本Skype,安裝後簡訊爆量,帳單暴增
Android上的間諜軟體測試版會竊取簡訊
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU