9大APP爆出漏洞，易遭中间人攻击

近日，伯明翰大学计算机科学学院的研究员发现，一些大型美国和英国的银行在其移动Android和iOS的APP中，修补了一个漏洞，该漏洞可使竞争对手发起中间人攻击，偷取客户机密证件，并操纵网络流量。包含HSBCC银行和TunnelBear VPN 在内的9个APP都受到影响。

该校研究员于大会上说明了他们的发现：“证书锁定通常会掩盖主机名验证的缺陷，从而引发中间人攻击。”

证书锁定允许APP给该服务器指定某一受到信任的证书。这样的话可以抵御很多攻击，尤其是通过使用给信任的APP或网址假证书，发起的中间人攻击。

研究人员发现，在创建传输层安全性（TLS）的过程中，在每个APP中中所运行的证书锁定和证书验证，都存在一个漏洞。TLS是一个很棘手的协议，很难保证配置正确，并且没有攻击。通常情况下，配置错误的漏洞和攻击都会同时发生。

虽然有测试TLS漏洞的自动化工具，但是没有一个能够检测出APP能够生效或者中间证书，却无法认证主机名称。我们认为这种大规模的检测费时费力，且花费高昂。

为了能够用更实惠的方式解决大量身份验证相关的漏洞，研究员们公布了一种零成本的自动测试工具，Spinner。

Spinner是一种用于黑盒测试的新型工具，可大规模测试漏洞，且不需要购买任何证书。它会将所有的流量都导向使用相关证书的网站，然后分析已加密的网络流量，这样的话就可以判定主机名称是否正确，即使有证书锁。

使用证书所但是却无法正确验证主机名称的APP，包括：Bank of America Health, TunnelBear VPN, Meezan Bank, Smile Bank, HSBC, HSBC Business, HSBC Identity, HSBCnet and HSBC Private.

利用此漏洞的典型中间人攻击，需要攻击者与受害者使用相同的WiFi网络。攻击者会使用APR（地址解析协议）和DNS spoofing（域名服务器电子欺骗），将受害网络的流量重新导向攻击者。当用户使用有漏洞的APP时，攻击者就会拦截TLS握手协议，并向该APP提供由应用程序所引用的证书签名的证书。

来源：threatpost

本文由看雪翻译小组 哆啦咪 编译

GPS 数据关闭时 APP 也能追踪用户信息

普林斯顿大学的研究人员已经开发出一种 app，它可以被用来追踪用户的行踪，即便是在 app 没有获得手机的 GPS 权限或者是用户有意关掉 GPS 服务的情况下也能完成。

研究人员说这是有可能的，因为现在的手机都有一系列精确的传感器，可以用于收集用户的许多数据，这些数据与外部的数据是相关的，比如高程地图和天气数据，可以用来重构用户的行踪。

PinMe app

为了证明这种攻击的可能性，普林斯顿的研究小组研发了一个名叫 PinMe 的 app，并且分别安装在了 Galaxy S4 i9500,iphone 6,iphone 6S三种不同的手机上。

在没有获得手机 GPS 数据的情况下app 也可以重建被测试者的行踪。
一开始这款 app 只是收集用户的 ip 地址和 wifi 连接信息，并且定期的根据 wifi 公共数据库信息来估计用户的大概位置。

然后，它使用从陀螺仪，加速器和高度传感器的数据来追踪人是如何快速移动的，比如：移动的方向、什么时候停下来、目前所处的海拔高度。然后 app 汇集所有的这些信息并使用一种预先设置好的算法来推测用户的运动模式，比如：步行、开车、乘火车或是坐飞机。

PinMe app 使用公共数据来推测用户的位置

一旦 PinMe app 检测到了用户的初始位置和运动模式，它就会使用公开可访问的地图来绘制用户的运动轨迹。比如，PinMe 使用谷歌和美国地质调查局的OpenStreetMap 公共导航地图和高程地图。

此外，PinMe 也使用温度，湿度和空气压力传感器的读数来与天气预报做比较，以便验证先前的发现。

普林斯顿大学的研究小组说，这个 app 能够成功的检测到用户的运动轨迹。他们让一个测试对象从费城飞往达拉斯，app 通过读取海拔和加速度数据、手机时钟的时区设置、两个机场的天气设置以及通过匹配来推定航班与公共飞机飞行时间表的时间安排。

研究人员也承认这个 app 是不完美的。比如，如果用户的手机上安装了 Tor 代理，PinMe 就没法精确的检测到用户的位置信息。此外，该应用程序还存在一些问题，比如在曼哈顿地区，这里的街道格式不是高度网格状对的，如果公共记录地雷被其它数据所污染，也可能会变得不准确。

系统可以作为一个备用 GPS 网络

据研究人员说，他们做这项工作的目的是为了说明用户不能控制手机传感器的危害。

研究人员希望今后的智能操作系统的制造商能考虑到他们的研究，并且设置一个传感器的开关，让用户可以防止应用程序访问他们搜集的信息，类似于今天的权限系统可以阻止应用程序访问 GPS一样。

此外，研究人员还认为，这其中的工作原理也可以用来创建一个替代现代以GPS为基础的导航系统，作为现代汽车，船舶和其他运输方式的备份，如果主要的GPS系统将永远不会下降的话。

更多详细消息可以查看如下这篇文章：

PinMe: Tracking a Smartphone User around the World."

来源：https://www.bleepingcomputer.com/news/security/apps-can-track-users-even-when-gps-is-turned-off/
本文由看雪翻译小组 cherrie 编译

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)