想象一下在一次特殊盛宴上的一扇全门。当有人说客人时,家庭读者会检查他们的邀请,并指导列表中的名字。如果不匹配,那个人就不会用天鹅绒绳子做。但是,如果家庭读者不做他的工作怎么办?她的减少将使林格杀死马ovreres并偷走有价值的物品。
这不是一个有效的类比,而是FTC与信用信息公司信用业力和电影票务基础Fantango的定居点,当公司压倒旨在识别和保护重要信息的操作系统默认系统时,证明了危险。
这是消费者在设备上下载应用程序后的工作方式。考虑用于建立加密连接的工业经典安全套接字层(SSL)。如果在线服务想连接到应用程序,则该服务提供了SSL证书以确认其身份。检查应用程序证书后,天鹅绒绳允许在线服务,并使用设备安装加密的链接,以便消费者可以发送信息。这项两项验证为人们提供了通过SSL认证和加密来发送重要数据的安全方法。
但是众所周知,欺诈者使用称为人类攻击的欺骗技术。如果应用程序未验证SSL证书,则攻击者可以使用错误的证书将其脚放在门口并安装与应用程序和在线服务之间发送的信息的连接。使用该应用程序的人没有意识到正在发生的事情。
获取针对威胁的个人信息非常重要,例如人工攻击,iOS和Android操作系统启用应用程序编程接口,使开发人员访问变得易于使用。自然,如果这些API自动检查SSL证书并在证书无效时拒绝连接。
iOS和Android操作系统的开发人员文档使用一种特别强大的语言来警告不要禁用这些默认验证系统。根据iOS文档,未能验证SSL证书“消除使用安全连接可以从中获得的任何好处。最终的连接不是通过HTTPP发送请求的安全性,因为它不能提供任何欺骗假服务器的保护。 “ Android文档不会减少单词:使用不验证SSL证书的使用”不应加密通信,因为没有人可以在一般WiFi Hot Place中攻击用户。 。 。 (和)攻击者可以记录密码和个人数据。透明
根据FTC的说法,Credit Karma和Fantango忽略了“不要去那里”警报。在创建其iOS应用程序时,消费者允许消费者获得其信用评分并监视其他财务数据,并且信用Karma被授权为服务提供商的服务提供商使用SSL认证验证代码。但是FTC指出,信用业障应用程序无法重新启用默认设置来投放市场。在2012年7月18日至2013年1月1日之间,公司的iOS使用易受人类中部攻击的影响,用户的社会保险号,出生日期和信用报告处于危险之中。
CreditKarma如何找到问题?根据FTC的说法,不是通过其自己的内部测试和监视。抱怨用户与信用业障(Credit Karma)接触,导致公司工程师于2013年1月续签以恢复默认设置。
但这并不是信贷业障故事的终结。一段时间后,FTC工作人员联系了Karma Credit Karma。那时,该公司的内部组在两种版本的使用中都进行了安全价值。这是一个复杂,昂贵的时间吗?不。根据FTC的说法,花了几个小时,而无需花费任何费用。猜猜它揭示了什么? 2013年2月 – 后 Credit Karma被告知iOS的影响 – 该公司引入了其使用Android版本,但具有相同的问题。评论还揭示了另一个安全绊脚石:iOS应用程序是设备上不安全的令牌和密码。
FTC对FTC对Fantango的案件产生了类似的缺陷。从2009年3月到2013年3月,Fantango使用的iOS版本无法验证SSL证书,超过了系统的安全默认值。根据FTC的说法,Fantango在发布之前未测试其应用程序,该应用程序检查SSL证书并安全地传输消费者个人数据,包括信用卡号,到期日期和安全代码。是的,在申请发布两年后,Fantango在2011年雇用了一些审查制度。但是,它限制了仅当攻击者对消费者设备进行物理访问时才添加威胁的机会。它不会测试安全的数据传输。因此,Fandango失去了一个机会,找出违反违约的影响所带来的影响。
FTC表示,人们缺乏报告安全问题的有效渠道,从而增加了Fantango问题。根据投诉,研究人员通过2012年12月可用的唯一方法与客户服务网络表格联系。研究人员的消息包括“密码”一词,因此Fantango的客户服务系统将其视为常规密码重置请求,并以记录的消息做出了响应。该组织拒绝了“解决”的安全警报。
Fandango什么时候最终解决了问题?根据投诉,直到公司倾听FTC员工直到。那时,Fantango指挥了一个简单的测试,并透露其应用程序未能验证SSL证书。 Fandango还发现,使用单独的电影票使用第三方。在三周内,Fantango发布了两个iOS应用程序的更新,该应用程序检索了默认设置,从而插入了保护孔。
与信用业障和芬兰戈(Fantango)的传播定居点必须制定全面的安全计划,以解决与新产品和已经存在的产品的开发和管理有关的风险,并保护订单下信息的安全性,完整性和机密性。根据其他定居点,Credit Karma和Fantango每年都需要每年从独立专家那里进行STEM到第一个安全审计。当然,合同的条款适用于这些公司,但是有兴趣的企业希望阅读拟议的订单,以查看Karma和Fantango的信用。您可以在2014年4月28日之前就拟议的定居点提出意见。
公司还能从这些活动中学到什么?
1。更改安全默认设置时使用严重的护理。 如果公司独自一人,操作系统的安全将保护消费者的个人信息免受人类中间攻击。当然,我们并不是说更改默认系统始终是非法的。实际上,有多种方法可以超越默认的SSL认证验证,通过实施一种更强大的识别方法,称为“证书鳍”。但是改变安全默认值是公用事业开发的脑部手术。公司必须勇敢地了解他们所知道的。
2。在发布您的应用程序之前对其进行彻底测试。 木匠有一个古老的谚语:“测量两次并切割一次。”与应用程序开发人员平行:使用免费或低成本的方法可立即可用来测试应用程序的安全性 前 您将它们交给消费者。
3。考虑人们将如何使用您的应用程序。 SSL在移动环境中非常重要的原因以及iOS和Android开发人员文档会做这么大的事情是有原因的:因为人们经常在未受保护的公共WiFi网络上使用移动应用程序。像国际象棋球员一样,开发人员必须在一些动作面前考虑。在发布应用程序之前,请考虑人们如何使用它,并考虑到这些现实世界的概念。
4。您对他人代表您所做的事情负责。 Credit Karma批准了服务提供商在预启动测试期间禁用SSL认证验证过程,但此后恢复了安全系统。第一个问题:默认值可能已经进行了测试而不关闭。但是,对于公司而言,确保在收到消费者使用之前,所有物品都恢复在苹果包中非常重要。
5。将耳朵放在地板上。 有一个活跃的研究社区来分享有关潜在安全影响的信息。但是,通过用标准的“ Ped Buck字母”来响应严格的警告,Fantango失去了解决问题的机会。聪明的人联系了 你的 该公司最近有风险呢?该消息不是在电子邮件框中阅读吗?
6。访问可用资源。 FTC手册,移动应用程序开发人员:从安全性开始,向公司提供有关保护这种影响的建议:
为了保护用户,开发人员通常以HTTPS的形式对SSL/TLS进行排序。考虑使用HTTP或其他专业系统。无需再次找到轮子。如果使用HTTPS,则使用数字证书,请确保您的应用程序已正确验证。著名卖家的任何形式的数字认证都很便宜,可以帮助您的客户与服务器(而不是其他人)进行通信。但是标准会改变,因此请监视当前技术,并确保您使用最新和出色的安全功能。
在FTC的隐私和安全页面上添加书签,并访问其他公共资源以获取有关创建安全应用程序的免费信息。
