微剋多資訊

 找回密碼
 註冊

Login

Login

搜索

該用戶從未簽到

發表於 2013-1-23 10:39 | 顯示全部樓層 |閱讀模式
「ScoreCenter」是由ESPN所出品的APP,有非常豐富的體育新聞資訊,也可以查詢MLB的比賽資訊。(圖片來源)

你會用哪一個行動應用程式來查詢最愛體育賽事的得分資訊呢?如果答案是美國ESPN體育頻道旗下iOS版的ScoreCenter軟體的話,那麼你可能會有安全上的疑慮出現,並且會有所謂「虛假安全感」的假像。
根據美商雲端安全服務方案商Zscaler表示,該應用軟體不但以明碼形式傳送帳號資料,同時也可能會有招致跨站描述語言漏洞(Cross-Site Scripting, XSS)攻擊的可能性,進而會被植入主動式內容的可能風險。
在此有一個邏輯性問題的想要提出,亦即攻擊者會拿來自於惡意團體,透過不安全網路之嗅探而得到的使用者ESPN會員帳號做什麼?而類似這樣的一個攻擊情境,對於真實世界的詐騙行為的可行性又有多高呢?


一旦成功劫持到ESPN帳號,潛在攻擊者將可能進一步存取使用者生日資訊,甚至能完全存取使用者群組或朋友名單,如此一來,惡意攻擊者將會進一步以使用者的名義來發動連串的攻擊活動,例如散播會引發用戶端漏洞攻擊,抑或直接被導入到惡意網站的惡意連結,假冒ESPN的活動,抑或「急需要錢!」等類型的詐騙。


實際上,當前這類網路犯罪者會依賴更有效的技術,來進一步獲取目標受害者PC的存取權及帳號資料,這意味著即使當前應用程式缺乏SSL的支援,但除非使用者所有網站都採用相同的電子郵件及密碼,抑或在入口網站擁有非常廣闊的社交圈之外,要不然的話,並沒有什麼好擔心的,當然還除了ESPN所提供的「虛假安全感」之外。


行動應用缺乏SSL的支援,並非行動作業系統特有的問題,但卻已成為個別需要注意的重要安全現象。2012年,德國漢諾威及馬堡的萊比鍚大學(Leibniz University of Hanover)及菲利普大學(Philipp University of Marburg)研究人員對13,500個Android應用軟體的分析發現,其中有1,074個軟體內含中間人攻擊(Man-in-the-middle, MITM))弱點。


資料來源:ZDNet
http://news.networkmagazine.com.tw/classification/security/2013/01/21/46147/


該用戶從未簽到

發表於 2013-1-23 15:34 | 顯示全部樓層
「虛假安全感」的假像


這讓我想起以前某種商業會計軟體的密碼保護機制
密碼根本只是設好玩的,只要把存檔直接複製出來,放到另一部新裝該軟體的電腦,免密碼就可讀出來
回覆

使用道具 舉報

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-7 05:46

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表