Android app漏洞挖掘初探(2) - http通信安全场景和危害
在Android中使用SSL/TLS,通过校验服务器端来实现安全通信。(这里指单向SSL/TLS, 与之对应的是双向SSL校验,双向SSL 指的是同时校验客户端和服务端证书), 开发者可以自由实现SSL 通信,然而很多开发者不能恰当的使用SSL协议,导致用户的敏感数据在传输过程中泄露。
漏洞分类:忽略SSL证书校验、忽略域名校验。
- 忽略SSL证书校验
在自定义实现X509TrustManager时,checkServerTrusted中没有检查证书是否可信,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。由于客户端没有校验服务端的证书,因此攻击者就能与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。
public class MyX509TrustManager implements X509TrustManager {
// 检查客户端证书
public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
// 检查服务器端证书
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
// 返回受信任的X509证书数组
public X509Certificate[] getAcceptedIssuers() {
return null;
}
}
在重写WebViewClient的onReceivedSslError方法时,调用proceed忽略证书验证错误信息继续加载页面,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。
mywebview.setWebViewClient(new WebviewClient(){
@Override
public void onReceivedError(WebView view,int errorCode,String description,String falingUrl){
// TODO Auto generated method stub
super.onReceivedError(view,errorCode,description,fallingUrl) ;
}
@Override
public void onReceivedSslError(WebView view,SslErrorHandler handler,SslError error)
// T0D0 Auto-generated method stub
handler.proceed( );
};
});
防护:
建议自定义实现X509TrustManager时,checkServerTrusted中对服务器信息进行严格校验。
针对自定义TrustManager,检查checkServerTrusted()函数是否为空实现。
建议不要重写TrustManager 和HostnameVerifier,使用系统默认的。
在重写WebViewClient的onReceivedSslError方法时,避免调用proceed忽略证书验证。
2. 忽略域名校验
在自定义实现HostnameVerifier时,没有在verify中进行严格证书校验,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。
HostnameVerifier hv = new HostnameVerifier (){
@Override
public boolean verify(String hostname,SSLSession session){
return true;
}
};
在setHostnameVerifier方法中使用ALLOW_ALL_HOSTNAME _VERIFIER,信任所有Hostname,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。
private HttpClient getNewHttpClient() {
try {
KeyStore trustStore = KeyStore.getInstance(KeyStore
.getDefaultType());
trustStore.load(null, null);
SSLSocketFactory sf = new SSLSocketFactory(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
HttpParams params = new BasicHttpParams();
HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);
SchemeRegistry registry = new SchemeRegistry();
registry.register(new Scheme("http", PlainSocketFactory
.getSocketFactory(), 80));
registry.register(new Scheme("https", sf, 443));
ClientConnectionManager ccm = new ThreadSafeClientConnManager(
params, registry);
return new DefaultHttpClient(ccm, params);
} catch (Exception e) {
return new DefaultHttpClient();
}
}防护:
在自定义实现HostnameVerifier时,在verify中对Hostname进行严格校验。
建议setHostnameVerifier方法中使用STRICT_HOSTNAME VERIFIER进行严格证书校验,避免使用ALLOW ALL.HOSTNAME _VERIFIER.