美海军二款作战用App爆重大漏洞，一年半前通报却遭忽视军方

美军一份资安稽核报告显示，二款用于作战的Android app有重大漏洞可能让骇客存取军事部署的资讯，而且去年三月就有人通报却遭到上级长官的忽视。

这份报告是去年6月美国特别顾问办公室要求国防部长，后者再责成海军部长针对防御系统进行资安稽核的结果，周四由海军总督察长室（Office of Inspector General）公布。两款Android app分别是KILSWITCH (Kinetic Integrated Low-Cost Software Integrated Tactical Combat Handheld) 及APASS (Android Precision Assault Strike Suite)被发现有漏洞。

这二款app主要提供作战相关包括攻击目标、邻近敌军及友军部署的卫星影像，借此取代传统地图或雷达扫描图。其中KILSWITCH可整合战机，作战美军可借由即时通讯软件和其他部队联系，甚至可以在触控屏幕上点几下，就能呼叫空中支援或进行攻击任务。

Engadget报导，这两款App原本是为作战训练而设计，开发人员的安全实作较为轻忽。由于二款App界面非常炫，因此在美国军队之间甚为流行，随后又被用于实地作战任务。

这份报告大量隐去了漏洞性质、数量、受影响的软件版本、搭载的装置为何等关键资讯，但指出为严重漏洞，开发过程不严谨，而且美国军方从未评估过这些漏洞的影响，也未能适当告知士兵，导致该软件被用于不当用途。所幸KILSWITCH及APASS仅有Android版本，而且美国海军陆战队使用的软件可有效缓解这些漏洞。

此外，报告还纠正美国海军，早在一年多前就有吹哨者多次向长官通报这二款app的漏洞。ZDNET报导报告中名字被隐去的吹哨者就是Anthony Kim。Washington Free Beacon报导，去年三月KILSWITCH app开发单位之一的美海军武器系统中心担任分析师的Kim发现了KILSWITCH及APASS的漏洞，并向直属长官报告，却遭到忽视。他锲而不舍，最后引用美国吹哨者法案直接上告海军最高层级，才让海军启动此事调查。当时Kim却遭到军方强迫休假、扣留薪水等惩处。本次报告算是还给了Kim一个公道。

本周美国国防部才公布调查报告，纠举军方导弹导弹系统资安防护不足，不但漏洞没修补，连加密传输、入侵侦测及多因素验证系统都没有。