摘要:来自移动安全公司AppBugs的最新报告显示,许多流行智能手机APP密码容易被暴力破解,因为它们允许无限量的登录尝试。这意味着攻击者理论上可以通过反复输入密码,来猜测用户帐户密码。虽然这种类型的强力攻击通常需要很长的时间来执行,但是由于智能手机键盘上输入强密码比较困难,手机密码往往缺乏复杂性。如果攻击者有合适的工具和大量的可支配时间,他们破解用户密码往往没有什么困难。

提高登录过程安全性最简单的方法之一是限制登录尝试的数目,虽然它可能将忘记密码而进行多次尝试的合法用户锁定,但是将最多尝试数量限制在50次,可以防止大多数暴力攻击。

50款Android和iPhone应用程序发现了登录次数无限制的bug,这些应用程序总计下载量超过3亿次。这些应用程序开发者有90天来修正这个问题,但是到现在,还有12个应用程序没有修正登录次数无限制的bug。

易受受到登录次数无限制bug影响的应用程序包括AutoCAD, CNN, Domino's Pizza, ESPN, Expedia, iHeartRadio, Kobo, Slack, Songza, SoundCloud, Walmart和Zillow。还有一些应用程序没有曝光,因为它们90天的宽限期还没到期。许多其他应用程序都没有接触过他们的宽限期尚未过期,而一些词典,云端备忘录应用程序开发商已经推出更新,修复了bug。