2013年1月22日 星期二

ESPN ScoreCenter iOS App傳送密碼不加密 XSS弱點攻擊等著你!


ESPN ScoreCenter iOS App傳送密碼不加密 XSS弱點攻擊等著你!

你會用哪一個行動應用程式來查詢最愛體育賽事的得分資訊呢?如果答案是美國ESPN體育頻道旗下iOS版的ScoreCenter軟體的話,那麼你可能會有安全上的疑慮出現,並且會有所謂「虛假安全感」的假像。

ESPN ScoreCenter iOS App
「ScoreCenter」是由ESPN所出品的APP,有非常豐富的體育新聞資訊,也可以查詢MLB的比賽資訊。(圖片來源)

根據美商雲端安全服務方案商Zscaler表示,該應用軟體不但以明碼形式傳送帳號資料,同時也可能會有招致跨站描述語言漏洞(Cross-Site Scripting, XSS)攻擊的可能性,進而會被植入主動式內容的可能風險。

在此有一個邏輯性問題的想要提出,亦即攻擊者會拿來自於惡意團體,透過不安全網路之嗅探而得到的使用者ESPN會員帳號做什麼?而類似這樣的一個攻擊情境,對於真實世界的詐騙行為的可行性又有多高呢?

一旦成功劫持到ESPN帳號,潛在攻擊者將可能進一步存取使用者生日資訊,甚至能完全存取使用者群組或朋友名單,如此一來,惡意攻擊者將會進一步以使用者的名義來發動連串的攻擊活動,例如散播會引發用戶端漏洞攻擊,抑或直接被導入到惡意網站的惡意連結,假冒ESPN的活動,抑或「急需要錢!」等類型的詐騙。

實際上,當前這類網路犯罪者會依賴更有效的技術,來進一步獲取目標受害者PC的存取權及帳號資料,這意味著即使當前應用程式缺乏SSL的支援,但除非使用者所有網站都採用相同的電子郵件及密碼,抑或在入口網站擁有非常廣闊的社交圈之外,要不然的話,並沒有什麼好擔心的,當然還除了ESPN所提供的「虛假安全感」之外。

行動應用缺乏SSL的支援,並非行動作業系統特有的問題,但卻已成為個別需要注意的重要安全現象。2012年,德國漢諾威及馬堡的萊比鍚大學(Leibniz University of Hanover)及菲利普大學(Philipp University of Marburg)研究人員對13,500個Android應用軟體的分析發現,其中有1,074個軟體內含中間人攻擊(Man-in-the-middle, MITM))弱點

資料來源:ZDNet
轉載自《網路資訊雜誌》

沒有留言:

張貼留言