热门政府App惊爆有弱点，台北好行、高速公路1968皆上榜恐影响60万民众

台湾骇客以国外行动装置常见十大弱点检测热门的政府App，发现包括了超过60万人下载高速公路局的“高速公路1968”App、19万人次下载的台北好行App 和10万下载人次的警政署“警政服务”App，甚至还包了日常生活可用的自来水公司的“行动水管家”App，都发现了资安弱点，恐有安全性不足的疑虑，最严重时恐导致使用者的账号密码遭窃外泄。

前宏碁资安工程师何宜霖以Web软件安全计划（Open Web Application Security Project，简称OWASP）中Top 10 Mobile 2014 RC1，也就是OWASP所公布的关于行动装置的十大弱点风险做为检测准则，搭配免费的检测工具，如Snoop-it、Gidb、Introspy来分析多款政府App，如高速公路1968、台北好行、警政服务和行动水管家等政府类App的安全性。

何宜霖表示，许多App出现机敏资料泄漏等问题，主要是因为开发商将App上架时，需要进行检测机制，但是台湾政府尚未公布完整的检测机制。他说，目前App产生最严重的问题主要分为3类，首先App将是使用者的账号与密码明码储存，再来是权限控管，也就是前端网页有检测的机制，但是在App的服务器或虚拟机器端，却没有检测机制。另外，目前开发者为了开发方便，不会关闭Debug Log，有些开发者直接将使用者的账号与密码就写在Debug Log，若骇客取得Log后，很轻易就能取得使用者的账号与密码。

何宜霖表示，他检测了高速公路局的“高速公路1968”App、警政署“警政服务”App等政府类App后，发现这两个App没有关闭Debug Log，恐怕会有外泄使用者资料的疑虑。

除此之外，何宜霖检测台北好行App后则发现了多个资安弱点，不仅在Binary中，写入大量API资讯，且使用者的个人资料会自动上传到政府的备援云端服务中，而非透过Https传输，因此，他推测，使用者的个人资料很容易被骇客撷取。

他还检测了自来水公司推出的行动水管家App，何宜霖利用Snoop-it检测后发现，不仅在这个App中，账号与密码采明文储存，且传输层保护不足，App采Get方式将资料传输到后端服务器，也就是直接采将账号密码透过URL网址传递参数来传输，在网址列中就会出现使用者的账号与密码，完全没有进行防护，骇客可以轻易取得使用者的账号与密码。

甚至，行动水管家还将使用者的账号与密码写入Debug Log讯息中。何宜霖表示，而开发者为了开发方便而没有关闭Debug Log，一旦骇客取得此App的Log，可以很轻易地取得使用者的账号与密码。文⊙胡玮佳、黄彦棻

前宏碁资安工程师何宜霖在台湾骇客年会展示他检测多项政府服务App时发现的资安弱点，例如行动水管家的除错讯息没有关闭，内有使用者账号密码，容易遭窃而外泄。