专攻计算机安全的澳大利亚计算机科学家 Troy Hunt 心情郁闷。他决定分析 iPhone 上的一系列移动应用程序,只是为了看看它们是否安全,以及它们是否对个人数据过于严厉。为此,它依赖于名为的 HTTP 代理服务提琴手,许多开发人员使用它来分析 Web 请求。
遗憾的是,他指出良好的安全实践还远未得到普及。因此,电子商务应用程序“Aussie Farmers”使用跟踪器收集大量个人信息并以纯文本形式在网络上发送,例如姓名、地址、客户帐号和地理位置。但还有更糟糕的事情,比如澳大利亚连锁餐厅 Nando's 的移动应用程序。当您使用登录名和密码进行连接时,智能手机会发送一个清晰的 HTTP 请求,其中包含姓名、电话号码、出生日期和……密码等。当您不再记得密码时,情况很简单:网络服务只需通过电子邮件将其发回,当然是以明文形式。
我们可以说,这种类型的亮度只存在于小型的、鲜为人知的应用程序中。错误 !通过分析 Paypal 应用程序,他发现金融服务提供商收集了有关他个人的大量信息,例如 IP 地址、手机型号、剩余存储量(?)、地理位置或 WiFi 网络名称。幸运的是,该服务使用了良好的 SSL 加密,但这仍然留下了大量个人数据。这些数据可以用来做什么? Paypal 在其使用条件中提到了打击欺诈行为,但这可能有充分的理由……
另请阅读:
移动支付应用:小心危险!,于 17/10/2014
来源 :
博客笔记来自特洛伊亨特
