日前行政院長江宜樺發函要公務人員不要使用LINE、WhatsApp等通訊軟體,要公務人員使用工研院研發的手機通訊軟體 Juiker(揪科),但Juiker卻爆出SSL憑證認證的問題,讓惡意攻擊者可利用中間人攻擊,竊取使用者的機敏資料。雖然工研院緊急修改App,已於1日重新上架,但這也揭示手機App在開發上的SSL憑證風險,對一般者來說,手機最機密的資料往往是手機上的帳密及網路金融交易資訊。
HITCON台灣駭客年會在6日舉辦論壇,提醒開發者特別注意手機App開發時,常被忽略的SSL處理,以及Android系統的WebView三大漏洞(註)。岑志豪提醒,Android系統的4.0.X及4.1.X版本是重災區,橫跨三個WebView漏洞,開發者不要小看每個漏洞,三個漏洞加總起來,危害不容小覷。
岑志豪指出,「不是用SSL加密連線就安全,要檢查憑證是否安全。」網路連線普遍發生的現象是,對資料層傳輸的保護不足。最常遇到中間人攻擊(Man-In-The-Middle Attack),當連線被中間人攻擊時,會攔截中間的資訊,使用者的連線被導往攻擊者的伺服器,使用者資料就會被竊取。
(圖說:戴夫寇爾資安研究員岑志豪指出,SSL憑證不安全的話,容易遭受中間人攻擊。郭芝榕攝影。)
不要在公眾網路使用銀行線上交易
資安專家戴夫寇爾資安研究員岑志豪建議,一般使用者盡量不要在公眾使用的網路如咖啡廳進行刷卡及網路金融交易,避免惡意攻擊者利用同一個網段進行惡意攻擊,取得機敏資訊,3G、4G網路或家中網路則相對安全。因為網路銀行也可能被中間人攻擊,台灣許多線上銀行都存在SSL風險,由於程式通常是委外開發,要看外包廠商是否注意到SSL的問題。
另外,岑志豪提醒使用者不要點進來歷不明的連結,更要注意是否點進連結後下載程式。他進一步指出,如果發現上網的速度變得很慢,或者突然在某個情況下耗電率很快,這兩個特徵可以協助使用者判斷是否手機可能被惡意攻擊。
如果真的發現手機被攻擊下載惡意程式,可以試著移除程式,如果無法移除的話,就把手機系統重置,恢復到原廠設定,大部分的情況應該可以解除危害。
SSL處理憑證風險,防範方法:避免在公眾網路傳輸機敏資訊
SSL問題普遍存在,資策會「2014年上半年臺灣風雲APP百強」中,Android的App有86個,其中存在SSL風險的App就有49個。岑志豪說,一般來說,系統預設會對伺服器做憑證的檢查,只要憑證有效,伺服器的設定也正確的話,就可以正常使用加密連線,如果憑證無效的話,開發者若沒有處理,連線就會被中斷。
使用預設設定而無法通過憑證的原因有以下三個:
1、憑證是對的,但伺服器設定有誤。
2、根憑證未預裝到裝置上,手機上有先預安裝憑證,但手機機型舊,導致憑證認為你的手機有問題。
3、其他:像是開發者常常會自行簽發憑證、憑證過期及網域名稱不符。
給開發者的建議:
- 務必採用加密連線傳輸機敏資料
- 嚴格做好對伺服器憑證的檢查(系統預設、憑證綁定)
- 只容許在開發階段忽略憑證檢查
- 注意使用的第三方函式庫是否有問題
給使用者的建議:
- 避免使用公眾場所所提供的無線網路
- 避免使用加密強度較弱的無線網路,如WEP、WPA等。
(圖說:Android系統上SSL問題的建議。圖片來源:郭芝榕攝影。)
三大WebView漏洞,防範方法:使用Android系統4.2.X或chrome、firefox、opera瀏覽器
開發者想讓程式與網頁結合時,通常會使用WebView,是可執行JavaScript,用於連結網路及顯示網頁的元件。不過,岑志豪也指出WebView目前的三大漏洞CVE-2012-6636、CVE-2014-1939、CVE-2014-6041,會讓攻擊者可以竊取資料,Android系統的4.0.X及4.1.X同時受到三個漏洞影響,算是「重災區」。
(圖說:手機App使用WebView常見的三大CVE漏洞,漏洞見紅色區域。圖片來源:郭芝榕攝影。)
岑志豪說,結合SSL的中間人攻擊及WebView的漏洞,攻擊者可取得手機應用程式的權限,進而控制使用者的手機。他並建議,千萬不要忽視每個漏洞的影響力,尤其是不同漏洞的組合,危害將遠大於每個漏洞各自的影響。開發者要在產品發佈前進行安全測試,定義App最低支援版本,避免因相容舊版而引發資訊安全的問題。
(圖說:資安專家提醒開發者不要忽略漏洞被結合攻擊的影響力。郭芝榕攝影。)
給開發者的建議:
CVE-2012-6636
- 避免WebView載入惡意內容,使用HTTPS,只讀取本地HTML
- 在4.2.X或以上版本使用時要為函數標註@Javascriptinterface
- 避免在4.1.X或以下版本的系統上使用addJavascriptInterface函數
CVE-2014-1939
- 避免WebView載入惡意內容,使用HTTPS,只讀取本地HTML
- 對版本3.0.X ~ 4.1.X的系統使用removeJavascriptInterface,把"searchBoxJavaBridge-"這個介面移除
CVE-2014-6041
- 避免WebView載入惡意內容,使用HTTPS,只讀取本地HTML
- 機敏cookie務必設定為HttpOnly(伺服器端)
給使用者的建議:
- 系統更新至4.2.X或以上版本
- 避免開啟不明來歷網址
- 採用非內建WebView(WebKit)作為核心的瀏覽器,像Chrome、Firefox、Opera
註:CVE(Common Vulnerabilities and Exposures)漏洞是一個國際知名的漏洞資料庫,由企業界、政府界和學術界共同參與的非盈利組織,可以快速發現軟體中的脆弱之處。
