先前为大家说明了如何对App的HTTPS通讯进行中间人攻击,听起来很吓人吧~表示若是使用手机的网银或购物等App,便有可能暴露在风险之中。
会发生HTTPS遭受拦截的主要原因是客户端的App未对服务器端的SSL证书进行验证所致。如此一来,有心人士便有了可趁之机,借由中间人攻击手法,分别对客户端的App及服务器端,建立通信,并让2端以为是在对彼此直接通信,便能达到窃听双方通信内容的目的。
也许金融业者会问道:那要如何解决呢?其实,从源头下手即可。意即,修改App源码,加入验证程序的代码,而不要偷懒,例如若是采用allow all hostname verifier便会失去校验的效果等等。至于要如何实做,只要参考Google提供的官方文件即可。
https://developer.android.com/training/articles/security-ssl.html
若舍此不为,而花大笔$$去购买昂贵设备或软件企图强化通信安全,叠床架屋的结果,岂非本末倒置???
