随着移动应用的兴起,质量参差不齐的app所带来的安全隐患也被业内密切关注了起来。当然,由于没有任何代码是完美的,因此当漏洞出现的时候,最佳的应对措施就是立即响应并做出修复。遗憾的是,McAfee实验室的一项最新研究发现,许多不安全和脆弱的应用程序都没能及时打上补丁,即使该漏洞已经被曝光了几个月的时间。
McAfee Labs说到:“1月份的时候,我们测试了CERT移动应用隐患清单上的25款最受欢迎的应用,它们会通过不安全的连接来发送登录凭证。
可惜的是,尽管漏洞已经被公开披露并通知了开发商,但仍有18个应用未能作出修复。在某些情况下,多个版本的更新只是处理了那些受到了关注的事务,而未能理会安全性。
McAfee实验室的研究人员们模拟了中间人攻击,并且成功地截获了在所谓的安全SSL会话中分享的信息。
在某些情况下,这些数据中包括了用户名和密码等信息(甚至某些社交网络和其它第三方服务的登录凭证)”。
McAfee继续说到,“虽然目前还没有证据表明有人已经开发出了针对这些移动应用的攻击手段,但鉴于此类应用的下载量已经累计有数亿,应用开发商们若是拖延或置之不理,则很有可能导致数以百万计的用户成为容易被中间人攻击的目标”。
当然,最令人震惊的莫过于这些应用仍处于频繁的更新阶段。但是在定期推出新功能的同时,老旧的安全漏洞却被选择性无视了。更可悲的是,用户可能都不知道自己所使用的app存在安全隐患。
在实验中,McAfee Labs已经实现了对Facebook和Microsoft OneDrive等服务的登录凭证的拦截。感兴趣的网友可以点击来源链接以了解更多内容。