一项最近发布的研究显示,沃尔玛、CNN、ESPAN及十几家其它组织机构的智能手机app将用户账户置于风险之地,因为这些app允许攻击者进行无限次登录尝试。
安全专家一直都在强调限制不成功登录尝试次数所带来的好处。虽然这些限制可能会让攻击者将合法用户踢出去,但这种拒绝服务带来的坏处通常不及针对在线密码破解尝试保护措施被破坏带来的后果。攻击者可以针对某个具体用户做出大量密码猜测。去年9月份,Apple的iCloud服务没有限制登录次数尝试,可能也是造成大量名人账户被黑并造成裸照盗贼出现的原因。
尽管Apple在修复这一问题,但很多智能手机app依然允许用户实施无限次登录尝试,这就让攻击者有了可乘之机。鉴于在智能手机键盘上输入强密码的难度,很可能在几周时间内破解大量用户账户密码并不是什么难事。
智能手机安全公司AppBugs研究显示,十几个下载量超过3亿次的安卓及iPhone app都没有对登录尝试设限。根据公司的披露政策,研究人员给了app开发人员多达90天的漏洞修复日期,而如今至少有12款app的宽限期已过但仍被修复,其中包括CNN、ESPN、Slack、Expedia、Zillow、SoundCloud、沃尔玛、Songza、iHeartRadio、Domino’s Pizza、 AutoCAD、和 Kobo。其他的三款app包括Wunderlist、Dictionary、及 Pocket也容易受到攻击但随后予以修复。
如前所述,次数限制有不足因为它可能会导致合法用户被踢出去。除此之外,app开发人员应当考虑采用双因素认证的方式以阻止用户账户被攻陷。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。