脸书app签章金钥被用来签发第三方程式，疑似外流

脸书旗下一个app的签章金钥近日疑似外泄被用来签发第三方程式，可能使骇客用来散布冒牌或恶意程式。

Android Police网站所有人Artem Russakovskii指出，过去几个星期有多个Android版APK被上传到其姐妹网站APK Mirror上。这些第三方业者开发的app使用的除错签章金钥，竟然和脸书Free Basics Android版 app使用的签章一样。因此若非脸书将除错用的签章金钥开放第三方厂商使用，就是不慎从脸书内部外泄了。Russakovskii指出，两者都很蠢，即使是前者，将测试用的签章用在正式版app，也非良好的开发作法。

Free Basics是脸书提供给新兴国家及美国偏远地区民众免费上网的服务，在当地电信业者配合下，提供用户基本网络内容及Facebook Lite、Messenger Lite。

app加密签章的设计是利用凭证签章证实app的真实性及完整性，可防止恶意程式假冒，或是app程式码遭到他人窜改。一旦加密签章金钥外流，即可能让恶意程式冒充合法app或是对它动过手脚，进而对不知情下载的用户造成安全威胁。

Russakovskii通报后，脸书就将原版的Free Basics从Play Store撤下，并换上使用新签章的新版app。但脸书对此隐而不谈，也未通知用户下载新版。Android Police批评，这将可能陷旧版Free Basics用户于安全风险中。APK Mirror也会拒绝任何再使用旧金钥的上传程式。

Android Police报导，旧版Free Basics by Facebook app拿掉前，在Play Store的下载次数超过500万。