示意圖 Photo by CMDR Shane on Unsplash(https://unsplash.com/photos/OHnvp41aDzE)

臉書旗下一個app的簽章金鑰近日疑似外洩被用來簽發第三方程式,可能使駭客用來散布冒牌或惡意程式。

Android Police網站所有人Artem Russakovskii指出,過去幾個星期有多個Android版APK被上傳到其姐妹網站APK Mirror上。這些第三方業者開發的app使用的除錯簽章金鑰,竟然和臉書Free Basics Android版 app使用的簽章一樣。因此若非臉書將除錯用的簽章金鑰開放第三方廠商使用,就是不慎從臉書內部外洩了。Russakovskii指出,兩者都很蠢,即使是前者,將測試用的簽章用在正式版app,也非良好的開發作法。

Free Basics是臉書提供給新興國家及美國偏遠地區民眾免費上網的服務,在當地電信業者配合下,提供用戶基本網路內容及Facebook Lite、Messenger Lite。

app加密簽章的設計是利用憑證簽章證實app的真實性及完整性,可防止惡意程式假冒,或是app程式碼遭到他人竄改。一旦加密簽章金鑰外流,即可能讓惡意程式冒充合法app或是對它動過手腳,進而對不知情下載的用戶造成安全威脅。

Russakovskii通報後,臉書就將原版的Free Basics從Play Store撤下,並換上使用新簽章的新版app。但臉書對此隱而不談,也未通知用戶下載新版。Android Police批評,這將可能陷舊版Free Basics用戶於安全風險中。APK Mirror也會拒絕任何再使用舊金鑰的上傳程式。

Android Police報導,舊版Free Basics by Facebook app拿掉前,在Play Store的下載次數超過500萬。


Advertisement

更多 iThome相關內容