top of page
作家相片Tommy Dong

揭露熱門行動應用程式漏洞:你的資料正在悄悄外洩嗎?

在這個數位時代,行動安全變得前所未有的重要。我們每天都在使用各種行動應用程式,但這些應用真的能保護我們的個人資訊嗎?事實證明,很多時候答案是否定的。


行動應用程式傳輸資料時,應該透過加密來保護用戶,特別是在裝置與伺服器之間來回交換資料的時候。不幸的是,許多開發者並未正確實施加密,這讓使用者暴露在資料竊取、監聽和中間人攻擊等各種風險中。


Symantec 分析了八款 Android 和 iOS 的熱門應用程式,發現它們在傳輸敏感資料時,使用了不安全的 HTTP 協議,而非安全的 HTTPS。這些應用程式暴露了包括裝置資訊、地理位置以及使用者帳號密碼等敏感資料,讓人輕易地遭受攻擊。


分析八款應用程式分析無法保護使用者敏感資料的問題


Klara Weather (Android)

下載次數:超過100萬次(Google Play商店)

問題:未加密傳輸地理位置資料

詳情:網路流量分析(圖1)及程式碼檢查(圖2)顯示,使用者地理位置透過未加密的HTTP流量外洩。


圖 1. Klara Weather 網路流量
圖 1. Klara Weather 網路流量
圖 2. HTTP URL 使用的 Klara Weather 程式碼證據
圖 2. HTTP URL 使用的 Klara Weather 程式碼證據

Military Dating App - MD Date (iOS)

評價次數:17,700次(Apple App Store)

問題:未加密傳輸憑證資料詳情:網路流量分析及程式碼檢查顯示,使用者名稱和密碼透過未加密的HTTP流量傳輸。

圖 3. Military Dating App網路流量
圖 3. Military Dating App網路流量
圖 4. HTTP URL 使用的Military Dating App代碼證據
圖 4. HTTP URL 使用的Military Dating App代碼證據

新浪財經 Sina Finance (Android)

下載次數:超過100,000次(Google Play商店)

問題:未加密傳輸裝置資訊詳情:網路流量分析及程式碼檢查顯示,裝置資訊(包括裝置ID、SDK版本及IMEI)透過未加密的HTTP流量外洩。

圖 5. 新浪財經網路流量
圖 5. 新浪財經網路流量
圖 6. HTTP URL 使用的新浪財經程式碼證據
圖 6. HTTP URL 使用的新浪財經程式碼證據

CP Plus Intelli Serve (Android)

下載次數:超過50,000次(Google Play商店)

問題:未加密傳輸憑證資料

詳情:網路流量分析及程式碼檢查顯示,使用者名稱和密碼透過未加密的HTTP流量傳輸。

圖 7. CP Plus Intelli Serve 網路流量
圖 7. CP Plus Intelli Serve 網路流量
圖 8. HTTP URL 使用的 CP Plus Intelli Serve 程式碼證據
圖 8. HTTP URL 使用的 CP Plus Intelli Serve 程式碼證據

Latvijas Pasts (Android)

下載次數:超過100,000次(Google Play商店)

問題:未加密傳輸地理位置資料詳情:網路流量分析及程式碼檢查顯示,使用者地理位置透過未加密的HTTP流量外洩。


圖 9. Latvijas Pasts 的網路流量
圖 9. Latvijas Pasts 的網路流量
圖 10. Latvijas Pasts HTTP URL 所使用的程式碼證據
圖 10. Latvijas Pasts HTTP URL 所使用的程式碼證據

HaloVPN: Fast Secure VPN Proxy (iOS)

評價次數:13,300次(Apple App Store)

問題:未加密傳輸裝置資訊

詳情:網路流量分析及程式碼檢查顯示,裝置資訊(包括裝置ID、語言、型號、名稱、時區及SIM卡資訊)透過未加密的HTTP流量外洩。


圖 11. HaloVPN 網路流量
圖 11. HaloVPN 網路流量
圖 12. HTTP URL 所使用的 HaloVPN 程式碼證據
圖 12. HTTP URL 所使用的 HaloVPN 程式碼證據

i-Boating: Marine Charts & GPS (iOS)

評價次數:11,600次(Apple App Store)

問題:未加密傳輸裝置資訊

詳情:網路流量分析及程式碼檢查顯示,裝置類型及操作系統版本透過未加密的HTTP流量傳輸。

圖 13. i-Boating 網路流量
圖 13. i-Boating 網路流量
圖 14. i-Boating:HTTP URL 使用的海圖和 GPS 程式碼證據
圖 14. i-Boating:HTTP URL 使用的海圖和 GPS 程式碼證據

Texas Storm Chasers (iOS)

評價次數:9,200次(Apple App Store)

問題:未加密傳輸地理位置資料

詳情:網路流量分析及程式碼檢查顯示,使用者地理位置透過未加密的HTTP流量傳輸。


圖 15. Texas Storm Chasers 網路流量
圖 15. Texas Storm Chasers 網路流量
圖 16. Texas Storm Chasers 使用 HTTP URL 的程式碼證據
圖 16. Texas Storm Chasers 使用 HTTP URL 的程式碼證據

持續存在的問題

應用程式開發者有責任保護使用者的資料。然而,正如這些案例所示,無論是故意還是疏忽,許多開發者未能妥善保護敏感資料,導致資料未加密傳輸,進而危害使用者的隱私與安全。這個問題已經存在太久,而未加密傳輸的情況也並非新現象。


行動應用程式的安全性至關重要,開發者必須優先考慮。透過以下幾項最佳實踐,開發者可以避免本篇文章中提到的安全風險:


  1. 使用HTTPS傳輸所有網路流量:確保應用與伺服器之間的資料傳輸皆透過HTTPS進行加密。

  2. 加密敏感資料:使用強加密技術保護敏感資訊,如使用者憑證和地理位置資料,無論是傳輸中還是存儲中。

  3. 定期安全審查:進行定期的程式碼審查和安全審計,發現並修補潛在漏洞。


作為使用者,我們也應該保持警惕,並要求應用程式開發者提高安全標準。了解所使用應用的安全措施,可以幫助我們做出更明智的選擇,並保護自己的個人資料。


有關最新的防護更新,請造訪 Symantec Protection Bulletin


Symantec建議使用者採取以下最佳實踐來防範行動威脅:


  • 安裝合適的安全應用程式,(例如 Symantec Endpoint Protection),保護裝置和資料

  • 避免從不熟悉的網站下載應用,僅安裝來自可信任來源的應用程式

  • 保持軟體更新

  • 密切注意應用程式請求的權限

  • 定期備份重要資料


原文出處 Symatnec Enterprise Blogs



Comentarios

No se pudieron cargar los comentarios
Parece que hubo un problema técnico. Intenta volver a conectarte o actualiza la página.
bottom of page