针对无线终端设备的HTTP请求劫持应对之策

cell_phone_http_request_hijack
移动计算设备如同体积轻便的个人电脑一样,功能强大,而且容易携带。除了PC所面临的安全问题之外,人们往往特别关注的是它们所面临的物理安全问题、个人隐私保护问题以及移动应用的安全等等。

毫无疑问,无线终端设备更容易失窃,进而让设备上所存储的个人信息数据外泄。而移动应用的安全问题往往只受到专业领域内的信息安全人员及应用开发人员所关注,只到近来,这里面的安全问题才渐渐浮现出来。昆明亭长朗然科技有限公司的移动安全研究员James Dong称:移动安全不仅仅是防止移动应用的广告插件和恶意程序,将正牌移动应用拆解,植入广告或恶意代码后后重新打包成“免费”的冒牌货,是国内的移动程序开发人员常干的事情。这和国内的商业市场环境和消费者习惯不可分,进而造成大量靠强制用户点击广告和偷卖用户隐私数据赚钱的“打包党”出现。

尽管移动安全所面临的局势很恶劣,我们可以看到政府机构不断在强化对移动应用程序提供者的监管力量,但是我们仍然需要强化警惕,移动计算领域的从业者可能随时变换入侵手法,以实现其罪恶的敛财目的。目前我们已经看到的是会对大众型的移动应用软件的会话劫持攻击,其原理很简单,事先建立好伪造的各类新闻、社交、购物等在线网站或广告插播页面,然后在各WIFI网络中不断发送事先定制好的DNS欺骗,ARP欺骗,HTTP请求及会话劫持等攻击包,将这些常见移动应用客户端引向事先伪造的网站服务器。

有人会估计这种入侵的耗资巨大,还不如在手机等智能设备中预装或捆绑软件来得快,其实,厉害的黑客已经能够通过一次性的WIFI攻击,使用HTTP 301永久转向等功能,而让移动应用程序受到永久的感染,所以,在机场、地铁等人流密集的地方进行这种活动还是很值得的。

防范之道从应用层面讲,可能需要强化移动网站服务器与移动终端之间的认证和通讯加密功能,这都需要一定的金钱和时间的投入。另一方面,则是从移动终端使用人员来进行,提升人们的信息安全意识,比如在接入公共的WIFI之后,立即启用VPN连接将所有通讯进行加密,以防范窃听和劫持。

当然,无线移动终端计算设备所面临的安全威胁还很多,我们不仅要强化移动计算服务和终端设备的安全,更需要让移动用户提高警惕,通过一部在线的移动设备信息安全意识教程,我们可以实现这些。