文/ iThome 陳曉莉 (編譯) 2011-08-10
研究人員從76%的程式中找到使用者名稱,從69%的程式中發現應用程式數據,從10%的程式中找出密碼,顯示若手機遭竊取,可能增加身份或金融財產被竊的風險。
數位鑑識與安全服務供應商viaForensics近日公布了一項針對iOS與Andoid平台百大行動程式的安全測試報告,顯示只有17%的程式完全通過安全測試,高達40%未能通過,其餘程式則取得了漏洞警告。
以程式類別來區分,viaForensics所測試的金融程式所曝露的資料遠比社交網路程式少,約有近75%的社交網路未能通過安全測試,但只有25%的金融程式沒通過安全測試。沒通過安全測試的生產力程式有43%,沒通過安全測試的零售程式有14%。雖然未通過安全測試的零售程式比例很低,然而,其餘的零售程式都得到漏洞警告,沒有任何零售程式完全通過該測試,歸納其主要原因來自於相關程式多半儲存了搜尋歷史紀錄與姓名及住址等客戶資訊。
值得注意的是,知名的Groupon for Android未能通過測試的原因是可被取得密碼,而非官方的Starbucks程式甚至可找出16個數字的信用卡號碼。
viaForensics研究人員從76%的程式中找到使用者名稱,從69%的程式中發現應用程式數據,從10%的程式中找出密碼。根據該公司的說明,即使多數人不認為使用者名稱為機密資訊,但使用者名稱的確是資料非常重要的一部份,很多系統都只需要使用者名稱與密碼,取得使用者名稱後,便解決了50%的問題。目前只有少數的行動應用程式會保護使用者名稱。
而69%的應用程式不是未通過應用程式數據的測試就是得到警告,代表諸如私密通訊、個人資或帳戶號碼有外洩的可能性,那些未通過測試的則是以清楚的文字呈現上述內容。
研究人員則在10%的應用程式中發現以清楚文字所儲存的密碼,是此一研究中最能對使用者安全造成直接威脅的發現。
viaForensics認為,根據此一研究結果,若使用者遺失的手機落到心懷不軌的人手上,可能帶來身份或金融竊盜的威脅,若駭客能夠取得一組密碼,再加上多個使用者密碼,就可對不同帳號採用同一密碼的使用者造成巨大的威脅。
行動應用程式的安全性尚未受到足夠的重視,一名暱稱為CyFi的10歲女童在本月舉辦的首屆DEFCON Kids駭客會議中展示她如何破解農場遊戲,CyFi即利用程式中的漏洞加速遊戲時間進行,讓農作物快速成長。(編譯/陳曉莉)