美国国土安全部测试33款公共安全App，一半以上含有重大漏洞

美国国土安全部（Department of Homeland Security，DHS）与公共安全通讯官员国际协会（Association of Public-Safety Communications Officials-International，APCO）等组织最近分析了33款公共安全程式的安全性，发现其中有18款含有中间人攻击或采用固定密码等重大安全漏洞。

这些公共安全程式通常是供灾害受难者或他人与第一线反应人员（First Responder）通讯之用。DHS表示，在紧急时刻或发生灾害时，行动装置与程式担任了非常重要的角色，让公安专家可即时接收与分享重要讯息，并提供救援服务，因此必须确认这些程式安全无虞。

APCO在今年遴选了33个在Android与iOS平台上热门的公共安全程式，利用资安业者Kryptowire的软件测试平台进行分析，显示有高达32款程式含有隐私及潜在的安全疑虑，例如可存取装置上的通讯录、简讯或相机功能，并有18款含有重大的安全漏洞，如采用固定密码，以及存在中间人攻击漏洞等。DHS还释出了完整测试报告，说明测试做法和结果。

打造上述33款程式的20名开发人员也参与了该测试，其中有10名于中途退出，因此最终只有14款程式的臭虫或漏洞被修补。

这其实是个具备双重目的的测试专案，一来可改善公安程式的安全性，二来则可确认公安程式的测试流程，以于未来应用在所有公安程式的安全测试上。