Android安全开发之Https中间人攻击漏洞

安全 移动安全 黑客攻防
https在理论上是可以抵御MITM,但是由于开发过程中的编码不规范,导致https可能存在MITM攻击风险,攻击者可以解密、篡改https数据。

[[174275]]

1.概述

HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。

中间人攻击,Man-in-the-middle attack,缩写:MITM,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。

https在理论上是可以抵御MITM,但是由于开发过程中的编码不规范,导致https可能存在MITM攻击风险,攻击者可以解密、篡改https数据。

2.https漏洞

Android https的开发过程中常见的安全缺陷:

1)在自定义实现X509TrustManager时,checkServerTrusted中没有检查证书是否可信,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。

2)在重写WebViewClient的onReceivedSslError方法时,调用proceed忽略证书验证错误信息继续加载页面,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。

3)在自定义实现HostnameVerifier时,没有在verify中进行严格证书校验,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。

4)在setHostnameVerifier方法中使用ALLOW_ALL_HOSTNAME_VERIFIER,信任所有Hostname,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。

3.漏洞案例

案例一:京东金融MITM漏洞

京东金融Ver 2.8.0由于证书校验有缺陷,导致https中间人攻击,攻击者直接可以获取到会话中敏感数据的加密秘钥,另外由于APP没有做应用加固或混淆,因此可以轻松分析出解密算法,利用获取到的key解密敏感数据。

御安全扫描结果:

如下是登陆过程中捕获到的数据:

其中的secretkey用于加密后期通信过程中的敏感数据,由于APP中使用的是对称加密,攻击者可以还原所有的通信数据。

案例二:中国移动和包任意消费漏洞

HTTPS证书校验不严格,可被MITM;

加密算法不安全,可被破解;

关键数据保存在sdcard卡上,可被任意访问;

代码混淆度低,业务逻辑,关键数据泄漏;

消息签名算法比较简单,数据可被修改;

通信数据如下:

  1. POST https://mcaNaNpay.com:28710/ccaweb/CCLIMCA4/2201194.dor HTTP/1.1 
  2.  
  3. Cookie: JSESSIONID=CHGmYSZLTMRAx_1sSEuUP6Q4vmRI9gWiRPM6ANGnH7eZWv0NhErE!221531807 
  4.  
  5. ....... 
  6.  
  7. Content-Length: 521 
  8.  
  9. Host: mcaNaNpay.com:28710 
  10.  
  11. Connection: Keep-Alive 
  12.  
  13. Cookie: JSESSIONID=CHGmYSZLTMRAx_1sSEuUP6Q4vmRI9gWiRPM6ANGnH7eZWv0NhErE!221531807 
  14.  
  15. Cookie2: $Version=1 
  16.  
  17. 866697029909260201603241008185gye5tKk6EPB4iliO722011944.3.82Android_21-1794*1080-HUAWEI GRA_UL1020093CAS000169918666970299092601050:a7:2b:c5:e2:d8 

在用户开启免密支付的前提下,结合以上安全问题,可以实现本地或远程攻击,直接盗取和包用户资金,如给任意账号充值等,给用户带来直接经济损失。

3.安全建议

1) 建议自定义实现X509TrustManager时,在checkServerTrusted中对服务器信息进行严格校验

2)在重写WebViewClient的onReceivedSslError方法时,避免调用proceed忽略证书验证错误信息继续加载页面

3)在自定义实现HostnameVerifier时,在verify中对Hostname进行严格校验

4)建议setHostnameVerifier方法中使用STRICT_HOSTNAME_VERIFIER进行严格证书校验,避免使用ALLOW_ALL_HOSTNAME_VERIFIER

4.参考

https://en.wikipedia.org/wiki/MITM

https://en.wikipedia.org/wiki/HTTPS

http://drops.wooyun.org/tips/3296

责任编辑:赵宁宁 来源: E安全
相关推荐

2016-09-27 22:45:47

2017-02-16 08:53:42

2019-01-28 08:59:59

2014-11-21 11:46:55

2020-12-28 10:23:00

中间人攻击漏洞Kubernetes

2014-06-06 14:12:40

2010-06-13 12:06:41

2015-05-04 14:54:41

2014-03-17 09:16:08

2013-11-11 10:36:04

2014-06-03 16:30:53

2020-05-07 15:24:22

中间人攻击MITM

2014-05-15 10:20:07

2015-12-29 10:41:16

2015-01-05 13:29:37

2014-03-20 10:26:58

2010-09-25 14:50:34

2014-06-06 12:56:16

2014-11-05 09:41:13

2009-08-14 11:25:38

点赞
收藏

51CTO技术栈公众号