臺灣駭客以國外行動裝置常見十大弱點檢測熱門的政府App,發現包括了超過60萬人下載高速公路局的「高速公路1968」App、19萬人次下載的臺北好行App 和10萬下載人次的警政署「警政服務」App,甚至還包了日常生活可用的自來水公司的「行動水管家」App,都發現了資安弱點,恐有安全性不足的疑慮,最嚴重時恐導致使用者的帳號密碼遭竊外洩。

前宏碁資安工程師何宜霖以Web軟體安全計畫(Open Web Application Security Project,簡稱OWASP)中Top 10 Mobile 2014 RC1,也就是OWASP所公布的關於行動裝置的十大弱點風險做為檢測準則,搭配免費的檢測工具,如Snoop-it、Gidb、Introspy來分析多款政府App,如高速公路1968、臺北好行、警政服務和行動水管家等政府類App的安全性。

何宜霖表示,許多App出現機敏資料洩漏等問題,主要是因為開發商將App上架時,需要進行檢測機制,但是臺灣政府尚未公布完整的檢測機制。他說,目前App產生最嚴重的問題主要分為3類,首先App將是使用者的帳號與密碼明碼儲存,再來是權限控管,也就是前端網頁有檢測的機制,但是在App的伺服器或虛擬機器端,卻沒有檢測機制。另外,目前開發者為了開發方便,不會關閉Debug Log,有些開發者直接將使用者的帳號與密碼就寫在Debug Log,若駭客取得Log後,很輕易就能取得使用者的帳號與密碼。

何宜霖表示,他檢測了高速公路局的「高速公路1968」App、警政署「警政服務」App等政府類App後,發現這兩個App沒有關閉Debug Log,恐怕會有外洩使用者資料的疑慮。

除此之外,何宜霖檢測臺北好行App後則發現了多個資安弱點,不僅在Binary中,寫入大量API資訊,且使用者的個人資料會自動上傳到政府的備援雲端服務中,而非透過Https傳輸,因此,他推測,使用者的個人資料很容易被駭客擷取。

他還檢測了自來水公司推出的行動水管家App,何宜霖利用Snoop-it檢測後發現,不僅在這個App中,帳號與密碼採明文儲存,且傳輸層保護不足,App採Get方式將資料傳輸到後端伺服器,也就是直接採將帳號密碼透過URL網址傳遞參數來傳輸,在網址列中就會出現使用者的帳號與密碼,完全沒有進行防護,駭客可以輕易取得使用者的帳號與密碼。

甚至,行動水管家還將使用者的帳號與密碼寫入Debug Log訊息中。何宜霖表示,而開發者為了開發方便而沒有關閉Debug Log,一旦駭客取得此App的Log,可以很輕易地取得使用者的帳號與密碼。文⊙胡瑋佳、黃彥棻

 

前宏碁資安工程師何宜霖在臺灣駭客年會展示他檢測多項政府服務App時發現的資安弱點,例如行動水管家的除錯訊息沒有關閉,內有使用者帳號密碼,容易遭竊而外洩。

 

 


Advertisement

更多 iThome相關內容