10

针对无线终端设备的HTTP请求劫持应对之策

 4 years ago
source link: https://blog.securemymind.com/http-hijacking-to-mobile-device.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

针对无线终端设备的HTTP请求劫持应对之策 – 安全意识博客Skip to content

cell_phone_http_request_hijack
移动计算设备如同体积轻便的个人电脑一样,功能强大,而且容易携带。除了PC所面临的安全问题之外,人们往往特别关注的是它们所面临的物理安全问题、个人隐私保护问题以及移动应用的安全等等。

毫无疑问,无线终端设备更容易失窃,进而让设备上所存储的个人信息数据外泄。而移动应用的安全问题往往只受到专业领域内的信息安全人员及应用开发人员所关注,只到近来,这里面的安全问题才渐渐浮现出来。昆明亭长朗然科技有限公司的移动安全研究员James Dong称:移动安全不仅仅是防止移动应用的广告插件和恶意程序,将正牌移动应用拆解,植入广告或恶意代码后后重新打包成“免费”的冒牌货,是国内的移动程序开发人员常干的事情。这和国内的商业市场环境和消费者习惯不可分,进而造成大量靠强制用户点击广告和偷卖用户隐私数据赚钱的“打包党”出现。

尽管移动安全所面临的局势很恶劣,我们可以看到政府机构不断在强化对移动应用程序提供者的监管力量,但是我们仍然需要强化警惕,移动计算领域的从业者可能随时变换入侵手法,以实现其罪恶的敛财目的。目前我们已经看到的是会对大众型的移动应用软件的会话劫持攻击,其原理很简单,事先建立好伪造的各类新闻、社交、购物等在线网站或广告插播页面,然后在各WIFI网络中不断发送事先定制好的DNS欺骗,ARP欺骗,HTTP请求及会话劫持等攻击包,将这些常见移动应用客户端引向事先伪造的网站服务器。

有人会估计这种入侵的耗资巨大,还不如在手机等智能设备中预装或捆绑软件来得快,其实,厉害的黑客已经能够通过一次性的WIFI攻击,使用HTTP 301永久转向等功能,而让移动应用程序受到永久的感染,所以,在机场、地铁等人流密集的地方进行这种活动还是很值得的。

防范之道从应用层面讲,可能需要强化移动网站服务器与移动终端之间的认证和通讯加密功能,这都需要一定的金钱和时间的投入。另一方面,则是从移动终端使用人员来进行,提升人们的信息安全意识,比如在接入公共的WIFI之后,立即启用VPN连接将所有通讯进行加密,以防范窃听和劫持。

当然,无线移动终端计算设备所面临的安全威胁还很多,我们不仅要强化移动计算服务和终端设备的安全,更需要让移动用户提高警惕,通过一部在线的移动设备信息安全意识教程,我们可以实现这些。

相似的文章 Similar Posts:


report

Recommend

  • 17
    • www.wooyun.org 7 years ago
    • Cache

    针对TP-LINK的CSRF攻击来劫持DNS案例 | WooYun知识库

    针对TP-LINK的CSRF攻击来劫持DNS案例 瞌睡龙

  • 5
    • blog.securemymind.com 4 years ago
    • Cache

    闲聊网络安全威胁与网络犯罪及应对之策

    闲聊网络安全威胁与网络犯罪及应对之策 – 安全意识博客Skip to content 有些计算机领域的术语,并非简单的字面意思,更何况词语的多义。因此,了解语境...

  • 4
    • blog.securemymind.com 4 years ago
    • Cache

    谈谈IPv6带来的安全挑战及应对之策

    谈谈IPv6带来的安全挑战及应对之策 – 安全意识博客Skip to content 下一代互联网协议IPv6逐渐被商用企业采纳,管理机构和运营商也开始规划和测试工...

  • 6
    • blog.securemymind.com 3 years ago
    • Cache

    探讨全球网络安全威胁应对之策

    探讨全球网络安全威胁应对之策 – 安全意识博客Skip to content 当前,全球网络空间面临的威胁日益严重,各种安全事件层出不穷。各国为了确保本国的网络空间利...

  • 7
    • blog.securemymind.com 3 years ago
    • Cache

    APT攻击将更加普遍,您准备好应对之策了么

    APT攻击将更加普遍,您准备好应对之策了么 – 安全意识博客Skip to content 早在2013年之前,APT攻击虽然引起了媒体及安全界的重视,但总体上讲似乎只是...

  • 8
    • wiki.eryajf.net 3 years ago
    • Cache

    Linux好用命令之curl劫持请求的三种方式

    Linux好用命令之curl劫持请求的三种方式 有一个场景,有一个域名解析到了很多机器,在扩容的时候,会新增解到新的机器上,但是在前端真正放量之前,我们需要对这些新增的做一下验证,此时就要用到域名与IP的对应关系来进行验证。...

  • 4
    • blog.securemymind.com 3 years ago
    • Cache

    社交媒体的安全风险与应对之策

    社交媒体的安全风险与应对之策 – 安全意识博客Skip to content 各种旨在展示和联接人类“感情”纽带的社交媒体平台仍在继续发展壮大。...

  • 6
    • shenjia1.github.io 3 years ago
    • Cache

    序列比对(四) 启发式比对之BWT算法

    由于精确比对在处理数据量较大的序列比对问题时,耗时比较长,所以需要一些更快速的比对算法。比如之前为了解决数据库搜索问题,而产生的BLAST算法。我们今天介绍的BWT算法也是为了解决一个精确比对无法解决的问题,或者说在短时间内无法解决的问题。那就是短序...

  • 3
    • shenjia1.github.io 3 years ago
    • Cache

    序列比对(三) 启发式比对之BLAST搜索算法

    序列比对(三) 启发式比对之BLAST搜索算法 发表于...

  • 7
    • paper.seebug.org 1 year ago
    • Cache

    SugarCRM 0-day 漏洞(CVE-2023-22952)应对之法

    SugarCRM 0-day 漏洞(CVE-2023-22952)应对之法 2023年08月14日 2023年08月14日...

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK