很多人的清晨都是從床頭拿起手機(jī)開始的：打開最喜歡的社交軟件，閱讀新聞，翻朋友圈，聽音樂，看視頻，檢查郵件，更新日歷狀態(tài)等等，而每個行為背后都對應(yīng)了多款app。

目前，全球有21億人擁有智能手機(jī)，每年新上架的移動APP數(shù)量更是高達(dá)千萬款。調(diào)研數(shù)據(jù)顯示，25歲以上的成年人每天使用手機(jī)約264次，15-24歲的人約為每天387次，相當(dāng)于每隔一分鐘就要碰一次智能手機(jī)。你或許覺得這組數(shù)據(jù)難以置信，但事實的確如此，移動app已經(jīng)深入到我們的生活和工作中。

然而，我們高度依賴的移動app，卻并沒有想象中的那么安全。根據(jù)Gartner的預(yù)測，75%的移動app甚至沒有通過基本的安全測試，黑客傾向于利用移動app中已知的安全漏洞竊取敏感和機(jī)密信息。

更令人意想不到的是，騰訊安全中心在日常終端安全審計中發(fā)現(xiàn)，在Android平臺中使用https協(xié)議的app絕大多數(shù)存在安全漏洞，可以直接導(dǎo)致https通訊中的敏感信息泄漏甚至遠(yuǎn)程代碼執(zhí)行。

https原本是為了加密網(wǎng)絡(luò)通訊，避免敏感信息被第三方獲取而設(shè)計的，而如今這些采用了https協(xié)議的移動端app卻令https加密作用形同虛設(shè)，到底是什么原因呢?

https使用不當(dāng)，讓APP遭遇安全風(fēng)險

通過幾大安全公司的漏洞掃描器發(fā)現(xiàn)，很多Androida平臺中的APP都存在https使用不當(dāng)?shù)娘L(fēng)險，主要體現(xiàn)在app沒有安全的使用google提供的API，只是簡單的調(diào)用https協(xié)議，并未對SSL證書有效性做驗證。

在google的官方文檔中，詳細(xì)給出了若干種Android平臺中使用https的方法，google的API會檢查APP應(yīng)用https證書的合法性，而APP開發(fā)測試環(huán)境下的https證書，很多都是開發(fā)人員自己生成的SSL證書，基本上是無法通過google合法性檢查的。因此，絕大多數(shù)APP都采用了覆蓋google默認(rèn)的證書檢查機(jī)制的方式來解決這個問題。

然而，在覆蓋默認(rèn)的證書檢查機(jī)制后，絕大多數(shù)app卻沒有對SSL證書進(jìn)行應(yīng)有的安全性檢查，直接接受了所有異常的SSL證書，既不提醒用戶存在安全風(fēng)險，也不終止危險的連接。

在攻擊者看來，這種操作漏洞簡直讓https形同虛設(shè)，可以輕易利用這個漏洞進(jìn)行攻擊，最常見的攻擊方式是通過偽造wifi進(jìn)行流量劫持，或者DNS請求劫持、路由鏈路劫持等，從而獲取APP用戶全部的https通信數(shù)據(jù)，包括密碼明文，聊天內(nèi)容，信用卡號等隱私信息。

當(dāng)某天我們在星巴克靜靜的坐了一下午，卻發(fā)現(xiàn)自己銀行卡中所有的錢都被無聲無息轉(zhuǎn)走了，原因很可能是由于某款A(yù)PP沒有正確使用https而被攻擊者鉆了空子。

正確使用https，將安全風(fēng)險扼殺于萌芽

事實上，https可以避免很多安全風(fēng)險的發(fā)生，但前提是必須正確使用https，才能有效抵御中間人攻擊。

目前，網(wǎng)頁瀏覽器、移動端應(yīng)用市場以及應(yīng)用平臺，都會對這類https異常進(jìn)行報警處理，并提醒用戶存在安全風(fēng)險，相信大家都曾經(jīng)見過這類提醒頁面：

這是因為無論在網(wǎng)頁端還是移動端，https都是業(yè)界公認(rèn)的趨勢：谷歌Chrome瀏覽器最新版在采用http協(xié)議的網(wǎng)站旁標(biāo)注“不安全”，其Android平臺默認(rèn)所有APP使用https;蘋果safari瀏覽器對http頁面進(jìn)行限制，并且強制要求iOS App使用https加密連接;微信小程序自2017年起僅支持https接口......

毋庸置疑，https在通訊加密方面發(fā)揮著無可替代的作用，但可惜的是，這些關(guān)于https的討論和倡導(dǎo)，并未得到業(yè)界同行應(yīng)有的重視，即使在今天，國內(nèi)的app依然大面積存在這類未正確使用https而引發(fā)的漏洞。

作為中國領(lǐng)先的電子認(rèn)證服務(wù)提供商，天威誠信一直致力于為廣大用戶構(gòu)建安全可信的網(wǎng)絡(luò)空間，推進(jìn)https在我國的普及。由天威誠信簽發(fā)的SSL證書，已廣泛應(yīng)用于工商銀行、建設(shè)銀行、騰訊、阿里巴巴等眾多企業(yè)的網(wǎng)站和APP。同時，為了更好地解決https大面積應(yīng)用面臨的各種問題，諸如：管理不便、下單繁瑣、安裝故障無法檢測、證書報錯等，天威誠信推出了自主研發(fā)的CIM證書管理平臺，為構(gòu)建安全的互聯(lián)網(wǎng)環(huán)境提供便捷的解決方案。

滴水石穿非一日之功，國內(nèi)安全行業(yè)任重而道遠(yuǎn)，在此天威誠信也呼吁業(yè)界同行，為了建立一個安全互信的網(wǎng)絡(luò)環(huán)境而共同努力。