在這個數位時代,行動安全變得前所未有的重要。我們每天都在使用各種行動應用程式,但這些應用真的能保護我們的個人資訊嗎?事實證明,很多時候答案是否定的。
行動應用程式傳輸資料時,應該透過加密來保護用戶,特別是在裝置與伺服器之間來回交換資料的時候。不幸的是,許多開發者並未正確實施加密,這讓使用者暴露在資料竊取、監聽和中間人攻擊等各種風險中。
Symantec 分析了八款 Android 和 iOS 的熱門應用程式,發現它們在傳輸敏感資料時,使用了不安全的 HTTP 協議,而非安全的 HTTPS。這些應用程式暴露了包括裝置資訊、地理位置以及使用者帳號密碼等敏感資料,讓人輕易地遭受攻擊。
分析八款應用程式分析無法保護使用者敏感資料的問題
Klara Weather (Android)
下載次數:超過100萬次(Google Play商店)
問題:未加密傳輸地理位置資料
詳情:網路流量分析(圖1)及程式碼檢查(圖2)顯示,使用者地理位置透過未加密的HTTP流量外洩。
Military Dating App - MD Date (iOS)
評價次數:17,700次(Apple App Store)
問題:未加密傳輸憑證資料詳情:網路流量分析及程式碼檢查顯示,使用者名稱和密碼透過未加密的HTTP流量傳輸。
新浪財經 Sina Finance (Android)
下載次數:超過100,000次(Google Play商店)
問題:未加密傳輸裝置資訊詳情:網路流量分析及程式碼檢查顯示,裝置資訊(包括裝置ID、SDK版本及IMEI)透過未加密的HTTP流量外洩。
CP Plus Intelli Serve (Android)
下載次數:超過50,000次(Google Play商店)
問題:未加密傳輸憑證資料
詳情:網路流量分析及程式碼檢查顯示,使用者名稱和密碼透過未加密的HTTP流量傳輸。
Latvijas Pasts (Android)
下載次數:超過100,000次(Google Play商店)
問題:未加密傳輸地理位置資料詳情:網路流量分析及程式碼檢查顯示,使用者地理位置透過未加密的HTTP流量外洩。
HaloVPN: Fast Secure VPN Proxy (iOS)
評價次數:13,300次(Apple App Store)
問題:未加密傳輸裝置資訊
詳情:網路流量分析及程式碼檢查顯示,裝置資訊(包括裝置ID、語言、型號、名稱、時區及SIM卡資訊)透過未加密的HTTP流量外洩。
i-Boating: Marine Charts & GPS (iOS)
評價次數:11,600次(Apple App Store)
問題:未加密傳輸裝置資訊
詳情:網路流量分析及程式碼檢查顯示,裝置類型及操作系統版本透過未加密的HTTP流量傳輸。
Texas Storm Chasers (iOS)
評價次數:9,200次(Apple App Store)
問題:未加密傳輸地理位置資料
詳情:網路流量分析及程式碼檢查顯示,使用者地理位置透過未加密的HTTP流量傳輸。
持續存在的問題
應用程式開發者有責任保護使用者的資料。然而,正如這些案例所示,無論是故意還是疏忽,許多開發者未能妥善保護敏感資料,導致資料未加密傳輸,進而危害使用者的隱私與安全。這個問題已經存在太久,而未加密傳輸的情況也並非新現象。
行動應用程式的安全性至關重要,開發者必須優先考慮。透過以下幾項最佳實踐,開發者可以避免本篇文章中提到的安全風險:
使用HTTPS傳輸所有網路流量:確保應用與伺服器之間的資料傳輸皆透過HTTPS進行加密。
加密敏感資料:使用強加密技術保護敏感資訊,如使用者憑證和地理位置資料,無論是傳輸中還是存儲中。
定期安全審查:進行定期的程式碼審查和安全審計,發現並修補潛在漏洞。
作為使用者,我們也應該保持警惕,並要求應用程式開發者提高安全標準。了解所使用應用的安全措施,可以幫助我們做出更明智的選擇,並保護自己的個人資料。
有關最新的防護更新,請造訪 Symantec Protection Bulletin。
Symantec建議使用者採取以下最佳實踐來防範行動威脅:
安裝合適的安全應用程式,(例如 Symantec Endpoint Protection),保護裝置和資料
避免從不熟悉的網站下載應用,僅安裝來自可信任來源的應用程式
保持軟體更新
密切注意應用程式請求的權限
定期備份重要資料
Comentarios