「高速公路 1968」App 超過 60 萬人下載、臺北好行 App 和警政服務 App 下載人數也都超過 10 萬人,甚至還有包了日常生活可用的行動水管家 App,都發現了安全性不足的弱點
臺灣駭客以國外行動裝置常見十大弱點檢測熱門的政府 App,發現包括了超過 60 萬人下載高速公路局的「高速公路 1968」App、19 萬人次下載的臺北好行 App 和 10 萬下載人次的警政署「警政服務」App,甚至還包了日常生活可用的自來水公司的「行動水管家」App,都發現了資安弱點,恐有安全性不足的疑慮,最嚴重時恐導致使用者的帳號密碼遭竊外洩。
前宏碁資安工程師何宜霖以 Web 軟體安全計畫(Open Web Application Security Project,簡稱OWASP)中 Top10 Mobile 2014 RC1,也就是 OWASP所公布的關於行動裝置的十大弱點風險做為檢測準則,搭配免費的檢測工具,如 Snoop-it、Gidb、Introspy 來分析多款政府 App,如高速公路 1968、臺北好行、警政服務和行動水管家等政府類 App 的安全性。
何宜霖表示,許多 App 出現機敏資料洩漏等問題,主要是因為開發商將 App 上架時,需要進行檢測機制,但是臺灣政府尚未公布完整的檢測機制。他說,目前 App 產生最嚴重的問題主要分為 3 類,首先 App 將是使用者的帳號與密碼明碼儲存,再來是權限控管,也就是前端網頁有檢測的機制,但是在 App 的伺服器或虛擬機器端,卻沒有檢測機制。另外,目前開發者為了開發方便,不會關閉 Debug Log,有些開發者直接將使用者的帳號與密碼就寫在 Debug Log,若駭客取得 Log 後,很輕易就能取得使用者的帳號與密碼。
何宜霖表示,他檢測了高速公路局的「高速公路 1968」App、警政署「警政服務」App 等政府類 App後,發現這兩個 App 沒有關閉 Debug Log,恐怕會有外洩使用者資料的疑慮。
除此之外,何宜霖檢測臺北好行 App 後則發現了多個資安弱點,不僅在 Binary 中,寫入大量 API 資訊,且使用者的個人資料會自動上傳到政府的備援雲端服務中,而非透過 Https 傳輸,因此,他推測,使用者的個人資料很容易被駭客擷取。
他還檢測了自來水公司推出的行動水管家 App,何宜霖利用 Snoop-it 檢測後發現,不僅在這個 App 中,帳號與密碼採明文儲存,且傳輸層保護不足,App 採 Get方式將資料傳輸到後端伺服器,也就是直接採將帳號密碼透過 URL網址傳遞參數來傳輸,在網址列中就會出現使用者的帳號與密碼,完全沒有進行防護,駭客可以輕易取得使用者的帳號與密碼。
甚至,行動水管家還將使用者的帳號與密碼寫入 Debug Log 訊息中。何宜霖表示,而開發者為了開發方便而沒有關閉 Debug Log,一旦駭客取得此 App 的 Log,可以很輕易地取得使用者的帳號與密碼。
資料來源:http://www.ithome.com.tw/news/90362
正新電腦:www.pronew.com.tw04-2473-8309
#軟體安全計畫 #行動裝置弱點 #app風險檢測 #機敏資料洩漏 # Debug Log #駭客擷取 #傳輸層保護 #政府雲端服務
文章定位: