「高速公路 1968」App 超過 60 萬人下載、臺北好行 App 和警政服務 App 下載人數也都超過 10 萬人,甚至還有包了日常生活可用的行動水管家 App,都發現了安全性不足的弱點
臺灣駭客以國外行動裝置常見十大弱點檢測熱門的政府 App,發現包括了超過 60 萬人下載高速公路局的「高速公路 1968」App、19 萬人次下載的臺北好行 App 和 10 萬下載人次的警政署「警政服務」App,甚至還包了日常生活可用的自來水公司的「行動水管家」App,都發現了資安弱點,恐有安全性不足的疑慮,最嚴重時恐導致使用者的帳號密碼遭竊外洩。
前宏碁資安工程師何宜霖以 Web 軟體安全計畫(Open Web Application Security Project,簡稱OWASP)中 Top 10 Mobile 2014 RC1,也就是 OWASP 所公布的關於行動裝置的十大弱點風險做為檢測準則,搭配免費的檢測工具,如 Snoop-it、Gidb、Introspy 來分析多款政府 App,如高速公路 1968、臺北好行、警政服務和行動水管家等政府類 App 的安全性。
何宜霖表示,許多 App 出現機敏資料洩漏等問題,主要是因為開發商將 App 上架時,需要進行檢測機制,但是臺灣政府尚未公布完整的檢測機制。他說,目前 App 產生最嚴重的問題主要分為 3 類,首先 App 將是使用者的帳號與密碼明碼儲存,再來是權限控管,也就是前端網頁有檢測的機制,但是在 App 的伺服器或虛擬機器端,卻沒有檢測機制。另外,目前開發者為了開發方便,不會關閉 Debug Log,有些開發者直接將使用者的帳號與密碼就寫在 Debug Log,若駭客取得 Log 後,很輕易就能取得使用者的帳號與密碼。
何宜霖表示,他檢測了高速公路局的「高速公路 1968」App、警政署「警政服務」App 等政府類 App 後,發現這兩個 App 沒有關閉 Debug Log,恐怕會有外洩使用者資料的疑慮。
除此之外,何宜霖檢測臺北好行 App 後則發現了多個資安弱點,不僅在 Binary 中,寫入大量 API 資訊,且使用者的個人資料會自動上傳到政府的備援雲端服務中,而非透過 Https 傳輸,因此,他推測,使用者的個人資料很容易被駭客擷取。
他還檢測了自來水公司推出的行動水管家 App,何宜霖利用 Snoop-it 檢測後發現,不僅在這個 App 中,帳號與密碼採明文儲存,且傳輸層保護不足,App 採 Get 方式將資料傳輸到後端伺服器,也就是直接採將帳號密碼透過 URL 網址傳遞參數來傳輸,在網址列中就會出現使用者的帳號與密碼,完全沒有進行防護,駭客可以輕易取得使用者的帳號與密碼。
甚至,行動水管家還將使用者的帳號與密碼寫入 Debug Log 訊息中。何宜霖表示,而開發者為了開發方便而沒有關閉 Debug Log,一旦駭客取得此 App 的 Log,可以很輕易地取得使用者的帳號與密碼。
資料來源:http://www.ithome.com.tw/news/90362
正新電腦:www.pronew.com.tw 04-2473-8309
#軟體安全計畫 #行動裝置弱點 #app風險檢測 #機敏資料洩漏 # Debug Log #駭客擷取 #傳輸層保護 #政府雲端服務
留言列表
