「高速公路 1968」App 超過 60 萬人下載、臺北好行 App 和警政服務 App 下載人數也都超過 10 萬人,甚至還有包了日常生活可用的行動水管家 App,都發現了安全性不足的弱點
臺灣駭客以國外行動裝置常見十大弱點檢測熱門的政府 App,發現包括了超過 60 萬人下載高速公路局的「高速公路 1968」App、19 萬人次下載的臺北好行 App 和 10 萬下載人次的警政署「警政服務」App,甚至還包了日常生活可用的自來水公司的「行動水管家」App,都發現了資安弱點,恐有安全性不足的疑慮,最嚴重時恐導致使用者的帳號密碼遭竊外洩。
前宏碁資安工程師何宜霖以 Web 軟體安全計畫(Open Web Application Security Project,簡稱OWASP)中 Top 10 Mobile 2014 RC1,也就是 OWASP 所公布的關於行動裝置的十大弱點風險做為檢測準則,搭配免費的檢測工具,如 Snoop-it、Gidb、Introspy 來分析多款政府 App,如高速公路 1968、臺北好行、警政服務和行動水管家等政府類 App 的安全性。
何宜霖表示,許多 App 出現機敏資料洩漏等問題,主要是因為開發商將 App 上架時,需要進行檢測機制,但是臺灣政府尚未公布完整的檢測機制。他說,目前 App 產生最嚴重的問題主要分為 3 類,首先 App 將是使用者的帳號與密碼明碼儲存,再來是權限控管,也就是前端網頁有檢測的機制,但是在 App 的伺服器或虛擬機器端,卻沒有檢測機制。另外,目前開發者為了開發方便,不會關閉 Debug Log,有些開發者直接將使用者的帳號與密碼就寫在 Debug Log,若駭客取得 Log 後,很輕易就能取得使用者的帳號與密碼。
何宜霖表示,他檢測了高速公路局的「高速公路 1968」App、警政署「警政服務」App 等政府類 App 後,發現這兩個 App 沒有關閉 Debug Log,恐怕會有外洩使用者資料的疑慮。
除此之外,何宜霖檢測臺北好行 App 後則發現了多個資安弱點,不僅在 Binary 中,寫入大量 API 資訊,且使用者的個人資料會自動上傳到政府的備援雲端服務中,而非透過 Https 傳輸,因此,他推測,使用者的個人資料很容易被駭客擷取。
他還檢測了自來水公司推出的行動水管家 App,何宜霖利用 Snoop-it 檢測後發現,不僅在這個 App 中,帳號與密碼採明文儲存,且傳輸層保護不足,App 採 Get 方式將資料傳輸到後端伺服器,也就是直接採將帳號密碼透過 URL 網址傳遞參數來傳輸,在網址列中就會出現使用者的帳號與密碼,完全沒有進行防護,駭客可以輕易取得使用者的帳號與密碼。
甚至,行動水管家還將使用者的帳號與密碼寫入 Debug Log 訊息中。何宜霖表示,而開發者為了開發方便而沒有關閉 Debug Log,一旦駭客取得此 App 的 Log,可以很輕易地取得使用者的帳號與密碼。
資料來源:http://www.ithome.com.tw/news/90362
正新電腦:www.pronew.com.tw 04-2473-8309
#軟體安全計畫 #行動裝置弱點 #app風險檢測 #機敏資料洩漏 # Debug Log #駭客擷取 #傳輸層保護 #政府雲端服務
提供KeyPro,抗反組譯,程式碼保護,逆向工程防護,雲端服務與應用,USB加密鎖,Dongle,程式邏輯,雲端驗證,程式邏輯,軟體鎖,軟體保護鎖,硬體鎖,保護鎖,軟體加密鎖,網路身分認證,OTP動態密碼鎖,軟體授權保護, IKEY,eToken,加密狗,Flash加密,Flash保護,資訊安全,軟體加密,磁碟保密,文件保密,智慧卡,影片加密,keylock,影片加密,mp3保護,程式加密,動態密碼安全卡,動態密碼產生器,動態密碼卡,GlobalSign憑證,HSM,PKI技術,Malwarebytes,勒索威脅防護,硬體安全模組等資安服務。 主要銷售產品: 數位著作權管理解決方案:SENTINEL軟體授權保護鎖系列,HASP軟體授權保護鎖系列,加密狗保護鎖系列 行動資訊管理解決方案 :SSL VPN,IPSEC VPN 企業資訊安全解決方案 :電腦開機認證, 程式碼簽章, 磁碟保密及PDF, HTML文件保密方案 多因素數位身分認證解決方案 :IKEY, eToken, RFID, OTP , 智慧卡, 生物辨識, 多功能晶片卡 逆向工程防護方案:Sentinel LDK 硬體加密
沒有留言:
張貼留言