標籤彙整: Apps

你的 Android 電子書閱讀 Apps 是否權限過大?

資料來源:你的 Android 電子書閱讀 Apps 是否權限過大?

很多人使用 Android 裝置閱讀電子書,但有幾多人知道這些電子書 apps 擁有幾大權限 - 可以讀取多少你的個人資料?Matt Bernius 比較了 17 種最流行的電子書 apps,發現很多 apps 取得超越所需的權限,例如接近四分之一 apps 可以知道你的地理位置,一半 apps 可以讀取你的電話號碼和 IMEI 號碼,有兩個 apps 知道你的 Android 系統內還有哪些 apps,這些權限跟閱讀電子書可說毫無關係。

雖然 Android 的 apps 在安裝的時候會列出它們所需的權限,但很多權限都晦澀難明,Apps 也沒有解釋它們為什麼需要這些權限,絕大部分的用戶都只是機械式地授權。

Android 電子書 apps 權限列表
Android 電子書 apps 權限列表 (圖片來源:EFF)

很不幸地,Android 的權限架構是用家只能「要或不要」(take it or leave it),用家要麼賦予某個 apps 全部要求的權限,否則便不能安裝這個 apps,不能選擇性地賦予部分權限。一些高階的 Android 用家會把裝置中的 Android 操作系統移除,換上一些以 Android 原始碼另行開發的操作系統,例如比較出名的 CyanogenMod,才可以享受更有彈性的授權機制。

新型攻擊技術,10,000 蘋果 Apps 安全堪憂

資料來源:Skycure

幾乎所有 iOS 上的 Apps 都要與伺服器聯繫,例如新聞網站的 Apps 需要定時更新內容,遊戲 Apps 需要顯示排名榜等等,最近發現一個簡單的方法可以更改 Apps 的伺服器網址,令 Apps 從偽冒網站下載資料,或者截取用戶與真實網站之間的通訊,受影響的 Apps 估計多達 10,000 個。這個新攻擊手法被命名為 HTTP Request Hijacking (HRH),意思是「HTTP 請求劫持」。

HRH 是由 Skycure 的網絡安全專家 Adi Sharabani 和 Yair Admit 在阿姆斯特丹舉行的 RSA Conferrence Europe 2013 率先發表。

由於問題的起因極具廣泛性,所以相信很多 Apps 都有這個安全漏洞,對於一些新聞或顯示股票價格的 Apps,這個漏洞特別有意思。現在很多人都使用智能手機或平板電腦閱讀新聞和查閱股票價格,他們也真心相信這些新聞的正確性。假如有一個人的 Apps 被攻擊,他/她讀到的新聞或股票價格便不是從真正的網站發出,而是從攻擊者的網站發出。更有趣的問題是,明天早上我們在手機上讀到的新聞,怎樣知道它們來自真正的網站?

攻擊的機制是這樣的:首先,很多 iOS Apps 都會緩存 (cache) HTTP 重定向 (HTTP redirection),尤其是「HTTP 301 永久重定向」。現在假設你帶著手機在 Starbucks 買了一杯咖啡,然後開啓手機的 Wi-fi 功能連接到附近一個熱點,這個熱點其實是一個坐在附近的黑客架設的 Wi-fi 路由器,你跟著開啓一個喜愛的新聞 Apps,Apps 透過 HTTP 通訊協定企圖與新聞伺服器連線,這個請求被黑客截取,並送回一個 HTTP 301 永久重定向送給 Apps,指示它新聞伺服器已經永久搬到一個新的網址,這個當然是黑客自己假設的網站。Apps 把這個新網址緩存起來,即使稍後手機連接到其他正常的 Wi-fi 路由器,它也只會到黑客的伺服器下載新聞,完全忘記真正新聞網站的網址了。

非常不幸的是,我們幾乎沒有方法得知手機中的 Apps 是否已受到攻擊。若果使用瀏覽器閱讀新聞,還可以透過網址列得知網站是否已被重定向,但是手機的 Apps 一般都不會告訴你它們連接到什麼伺服器,以至 HRH 攻擊幾乎不可能被發現。

Skycure 的研究團隊審視過部分最受歡迎的 iOS Apps,發現大概一半會緩存 HTTP 301 永久重定向,所以有機會受到 HRH 攻擊。他們也審視過最受歡迎的新聞 Apps,幾乎全部都有機會受到攻擊。

一般來說負責任的安全專家會把新發現的漏洞通知軟體開發商,待他們修補後才公佈詳情,但這次的漏洞極具廣泛性,受影響的 Apps 數量實在太多,不可能逐一通知開發商修補,所以索性直接公佈,並盡可能交代清楚所有技術細節,並提供修正的方法,希望在黑客發動攻擊前,開發商可以儘快修補漏洞。

一般的用戶根本無法得知自己的 Apps 是否受到攻擊,若果你懷疑某個 Apps 已受到攻擊,唯一的解決辦法是把它解除安裝,然後重新安裝。