Https使用不当，APP也会遭遇安全风险

很多人的清晨都是从床头拿起手机开始的：打开最喜欢的社交软件，阅读新闻，翻朋友圈，听音乐，看视频，检查邮件，更新日历状态等等，而每个行为背后都对应了多款app。

目前，全球有21亿人拥有智能手机，每年新上架的移动APP数量更是高达千万款。调研数据显示，25岁以上的成年人每天使用手机约264次，15-24岁的人约为每天387次，相当于每隔一分钟就要碰一次智能手机。你或许觉得这组数据难以置信，但事实的确如此，移动app已经深入到我们的生活和工作中。

然而，我们高度依赖的移动app，却并没有想象中的那么安全。根据Gartner的预测，75%的移动app甚至没有通过基本的安全测试，黑客倾向于利用移动app中已知的安全漏洞窃取敏感和机密信息。

更令人意想不到的是，腾讯安全中心在日常终端安全审计中发现，在Android平台中使用https协议的app绝大多数存在安全漏洞，可以直接导致https通讯中的敏感信息泄漏甚至远程代码执行。

https原本是为了加密网络通讯，避免敏感信息被第三方获取而设计的，而如今这些采用了https协议的移动端app却令https加密作用形同虚设，到底是什么原因呢?

https使用不当，让APP遭遇安全风险

通过几大安全公司的漏洞扫描器发现，很多Androida平台中的APP都存在https使用不当的风险，主要体现在app没有安全的使用google提供的API，只是简单的调用https协议，并未对SSL证书有效性做验证。

在google的官方文档中，详细给出了若干种Android平台中使用https的方法，google的API会检查APP应用https证书的合法性，而APP开发测试环境下的https证书，很多都是开发人员自己生成的SSL证书，基本上是无法通过google合法性检查的。因此，绝大多数APP都采用了覆盖google默认的证书检查机制的方式来解决这个问题。

然而，在覆盖默认的证书检查机制后，绝大多数app却没有对SSL证书进行应有的安全性检查，直接接受了所有异常的SSL证书，既不提醒用户存在安全风险，也不终止危险的连接。

在攻击者看来，这种操作漏洞简直让https形同虚设，可以轻易利用这个漏洞进行攻击，最常见的攻击方式是通过伪造wifi进行流量劫持，或者DNS请求劫持、路由链路劫持等，从而获取APP用户全部的https通信数据，包括密码明文，聊天内容，信用卡号等隐私信息。

当某天我们在星巴克静静的坐了一下午，却发现自己银行卡中所有的钱都被无声无息转走了，原因很可能是由于某款APP没有正确使用https而被攻击者钻了空子。

正确使用https，将安全风险扼杀于萌芽

事实上，https可以避免很多安全风险的发生，但前提是必须正确使用https，才能有效抵御中间人攻击。

目前，网页浏览器、移动端应用市场以及应用平台，都会对这类https异常进行报警处理，并提醒用户存在安全风险，相信大家都曾经见过这类提醒页面：

这是因为无论在网页端还是移动端，https都是业界公认的趋势：谷歌Chrome浏览器最新版在采用http协议的网站旁标注“不安全”，其Android平台默认所有APP使用https;苹果safari浏览器对http页面进行限制，并且强制要求iOS App使用https加密连接;微信小程序自2017年起仅支持https接口......

毋庸置疑，https在通讯加密方面发挥着无可替代的作用，但可惜的是，这些关于https的讨论和倡导，并未得到业界同行应有的重视，即使在今天，国内的app依然大面积存在这类未正确使用https而引发的漏洞。

作为中国领先的电子认证服务提供商，天威诚信一直致力于为广大用户构建安全可信的网络空间，推进https在我国的普及。由天威诚信签发的SSL证书，已广泛应用于工商银行、建设银行、腾讯、阿里巴巴等众多企业的网站和APP。同时，为了更好地解决https大面积应用面临的各种问题，诸如：管理不便、下单繁琐、安装故障无法检测、证书报错等，天威诚信推出了自主研发的CIM证书管理平台，为构建安全的互联网环境提供便捷的解决方案。

滴水石穿非一日之功，国内安全行业任重而道远，在此天威诚信也呼吁业界同行，为了建立一个安全互信的网络环境而共同努力。