熱門政府App安全性差,臺北好行、高速公路1968皆上榜,恐影響60萬民眾

熱門政府App驚爆有弱點,臺北好行、高速公路1968皆上榜恐影響60萬民眾

臺灣駭客以國外行動裝置常見十大弱點檢測熱門的政府App,發現包括了超過60萬人下載高速公路局的「高速公路1968」App、19萬人次下載的臺北好行App 和10萬下載人次的警政署「警政服務」App,甚至還包了日常生活可用的自來水公司的「行動水管家」App,都發現了資安弱點,恐有安全性不足的疑慮,最嚴重時恐導致使用者的帳號密碼遭竊外洩。

前宏碁資安工程師何宜霖以Web軟體安全計畫(Open Web Application Security Project,簡稱OWASP)中Top 10 Mobile 2014 RC1,也就是OWASP所公布的關於行動裝置的十大弱點風險做為檢測準則,搭配免費的檢測工具,如Snoop-it、Gidb、Introspy來分析多款政府App,如高速公路1968、臺北好行、警政服務和行動水管家等政府類App的安全性。

何宜霖表示,許多App出現機敏資料洩漏等問題,主要是因為開發商將App上架時,需要進行檢測機制,但是臺灣政府尚未公布完整的檢測機制。他說,目前App產生最嚴重的問題主要分為3類,首先App將是使用者的帳號與密碼明碼儲存,再來是權限控管,也就是前端網頁有檢測的機制,但是在App的伺服器或虛擬機器端,卻沒有檢測機制。另外,目前開發者為了開發方便,不會關閉Debug Log,有些開發者直接將使用者的帳號與密碼就寫在Debug Log,若駭客取得Log後,很輕易就能取得使用者的帳號與密碼。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏