美國國防部高等研究計畫署DARPA曾展示過一款在平板上指揮飛機攻擊特定目標的Android平板App,就是類似KILSWITCH的作戰App,但無法證實這款就是有漏洞的App

圖片來源: 

DARPA

美軍一份資安稽核報告顯示,二款用於作戰的Android app有重大漏洞可能讓駭客存取軍事部署的資訊,而且去年三月就有人通報卻遭到上級長官的忽視。

這份報告是去年6月美國特別顧問辦公室要求國防部長,後者再責成海軍部長針對防禦系統進行資安稽核的結果,周四由海軍總督察長室(Office of Inspector General)公佈。兩款Android app分別是KILSWITCH (Kinetic Integrated Low-Cost Software Integrated Tactical Combat Handheld) 及APASS (Android Precision Assault Strike Suite)被發現有漏洞。

這二款app主要提供作戰相關包括攻擊目標、鄰近敵軍及友軍部署的衛星影像,藉此取代傳統地圖或雷達掃瞄圖。其中KILSWITCH可整合戰機,作戰美軍可藉由即時通訊軟體和其他部隊聯繫,甚至可以在觸控螢幕上點幾下,就能呼叫空中支援或進行攻擊任務。

Engadget報導,這兩款App原本是為作戰訓練而設計,開發人員的安全實作較為輕忽。由於二款App介面非常炫,因此在美國軍隊之間甚為流行,隨後又被用於實地作戰任務。

這份報告大量隱去了漏洞性質、數量、受影響的軟體版本、搭載的裝置為何等關鍵資訊,但指出為嚴重漏洞,開發過程不嚴謹,而且美國軍方從未評估過這些漏洞的影響,也未能適當告知士兵,導致該軟體被用於不當用途。所幸KILSWITCH及APASS僅有Android版本,而且美國海軍陸戰隊使用的軟體可有效緩解這些漏洞。

此外,報告還糾正美國海軍,早在一年多前就有吹哨者多次向長官通報這二款app的漏洞。ZDNET報導報告中名字被隱去的吹哨者就是Anthony Kim。Washington Free Beacon報導,去年三月KILSWITCH app開發單位之一的美海軍武器系統中心擔任分析師的Kim發現了KILSWITCH及APASS的漏洞,並向直屬長官報告,卻遭到忽視。他鍥而不捨,最後引用美國吹哨者法案直接上告海軍最高層級,才讓海軍啟動此事調查。當時Kim卻遭到軍方強迫休假、扣留薪水等懲處。本次報告算是還給了Kim一個公道。

本周美國國防部才公佈調查報告,糾舉軍方導彈飛彈系統資安防護不足,不但漏洞沒修補,連加密傳輸、入侵偵測及多因素驗證系統都沒有。


Advertisement

更多 iThome相關內容