压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　根據安全研究公司FireEye的研究，在針對Google Play 中1000個最流行的Android應用的研究發現， 其中60%的應用，由于SSL代碼錯誤以及證書處理的錯誤。至少存在著中間人攻擊的風險。

　　“安卓生態系統急需幫助， 因為SSL漏洞和中間人攻擊（MITM）攻擊正在對數據安全造成嚴重破壞。” FireEye在博客中寫道。

　　FireEye的研究人員發現了三類基本的SSL錯誤：

　?。保┛尚殴芾頉]有檢查證書是否有效

　?。玻貌蝗ゴ_認遠程服務器的域名是否正確

　?。常┰谑褂肳ebkit時忽略SSL錯誤碼（即當安全完整性檢查出錯時的錯誤碼）

　　androidssl1

　　可信管理引擎不對后端服務器進行身份驗證是目前看來最常見的問題。 這使得黑客可以偽造成合法的身份來盜取數據。 在Google Play商店最流行的1000個安卓應用中，有73%的應用存在這樣的問題。 在最流行的1萬個應用中， 有40%存在這樣的問題。

　　第二常見的問題就是Webkit的錯誤碼問題。 在最流行的1000個應用中，有77%存在這樣的問題，在最流行的1萬個應用中，有13%存在此類問題。

　　對中間人攻擊來說， 目前廣告網絡是最大的攻擊目標。 黑客或者是通過劫持連接來安惡意軟件， 或者把用戶劫持大其他網站。  FireEye的研究團隊發現最流行的兩個廣告庫Flurry和Chartboost都使用了不可靠的可信管理器。

　　這兩個系統目前都已經加了補丁， 不過這并不意味著第三方的應用開發人員就會立即更新他們的應用。 重新對代碼進行編譯并發布。

　　“很多SSL和密碼的問題與應用如何進行測試和發布相關。在開發過程中， 很多開發人員發現對SSL驗證進行禁用可以方便測試。” Neohapsis的安全研究顧問Patrick Thomas說“這是很危險的， 因為這需要有人能夠記住在軟件發布的時候把SSL驗證加進來。 這一點很容易被忘記從而導致嚴重后果。 這類錯誤說明了在產品開發階段安全專家與開發團隊合作的重要性。 在產品發布前， 除了功能測試外， 安全測試也非常重要。 ”