刚刚过去的2015“双十一”，天猫最终以912.17亿元的交易额创下惊人纪录。值得注意的是，天猫移动端交易额为626亿元，占比达68.67%，远超PC端交易规模。这预示着电子商务的移动时代真正到来，移动端正式成为与PC端并驾齐驱的主流渠道。

移动互联网火热，APP使用量呈现爆发式增长，但移动APP安全却存在巨大的安全隐患。针对一些热门APP检测的综合结果显示，90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面，98%不校验证书链和证书签发者，甚至不验证证书域名是否匹配。本文以主流在线购物和在线旅游APP的检测结果为例，从用户数据传输安全角度，探讨APP安全问题。

安全机构对主流在线购物和在线旅游APP进行检测发现：

(1)携程、艺龙APP均全站未启用HTTPS加密，超千万用户数据HTTP明文“裸奔”;

(2)天猫APP的HTTPS连接没有校验证书链和证书签发者，极容易被黑客劫持加密流量，窃取用户名密码以及银行卡号等机密信息;

(3)途牛、阿里旅行等在线旅游APP，HTTPS连接均没有校验证书链和证书签发者。
 

 

2015年4月手机APP用户监测数据显示，携程APP月活跃用户数超1900万，艺龙APP月活跃用户近400万。但这两款APP都采用全站HTTP明文传输协议，这意味着，携程、艺龙APP上超两千万用户数据都以明文方式在互联网上“裸奔”，通过简单的代理抓包工具就可以捕获APP传输数据，其中可能包含用户的账号密码、身份证号、手机号、真实姓名、酒店预订记录、出行记录等隐私信息。
 

 

携程APP全站明文传输
 

 

携程APP全站明文传输
 

 

艺龙APP传输数据，明文泄漏用户手机号

阿里旗下的淘宝和天猫均在今年启用了全站HTTPS加密，天猫APP除了部分页面和CDN外，基本上实现了全站HTTPS加密访问。但经过测试发现，天猫APP的HTTPS根本不会校验证书链和证书颁发者，通过简单的DNS劫持和自签证书就能够获取到用户APP传输的加密数据。

从下面两张图可以看出，通过自签SSL证书和虚假服务器，对天猫APP进行ARP欺骗和DNS欺骗，就可以使天猫APP客户端与虚假服务器成功建立连接，并使用自签SSL证书加密传输数据。这个漏洞一旦被黑客利用，将对用户隐私和资金安全造成严重威胁。
 

 

天猫APP与虚假服务器成功建立连接
 

 

天猫APP与虚假服务器完成SSL握手

途牛、阿里旅行等APP都只在部分页面启用HTTPS，其他页面均为明文传输;HTTPS均没有校验证书链和证书颁发者，同样可以通过欺骗手段，利用自签SSL证书和虚假服务器获取到用户APP传输的加密数据。
 

 

途牛APP与虚假服务器成功建立连接
 

 

阿里旅行APP与虚假服务器成功建立连接

除了上述在线购物和在线旅游APP以外，安全机构还对其他热门APP程序进行了检测，其中包括网银APP。综合结果显示，超过90%以上的APP未使用HTTPS加密连接;已启用HTTPS连接的页面中，98%不校验证书链和证书颁发者，有些甚至不验证证书域名是否匹配。

总结

SSL加密认证技术是互联网最基础的安全防护措施，所有APP开发者都应重视。安全专家呼吁：APP开发者一定要为APP服务器部署全球信任的SSL证书，通过HTTPS加密防止数据泄露，通过SSL认证防止中间人欺骗和劫持，保护用户数据传输安全。

(责任编辑：腰编辑)