專攻電腦安全的澳洲電腦科學家 Troy Hunt 心情鬱悶。他決定分析 iPhone 上的一系列行動應用程序,只是為了看看它們是否安全,以及它們是否對個人資料過於嚴厲。為此,它依賴名為的 HTTP 代理服務提琴手,許多開發人員使用它來分析 Web 請求。
遺憾的是,他指出良好的安全實踐還遠遠沒有普及。因此,電子商務應用程式「Aussie Farmers」使用追蹤器收集大量個人資訊並以純文字形式在網路上發送,例如姓名、地址、客戶帳號和地理位置。但還有更糟糕的事情,例如澳洲連鎖餐廳 Nando's 的行動應用程式。當您使用登入名稱和密碼進行連線時,智慧型手機會發送一個清晰的 HTTP 請求,其中包含姓名、電話號碼、出生日期和…密碼等。當您不再記得密碼時,情況很簡單:網路服務只需透過電子郵件將其發回,當然是以純文字形式。
我們可以說,這種類型的亮度只存在於小型的、鮮為人知的應用程式中。錯誤 !透過分析 Paypal 應用程序,他發現金融服務提供者收集了有關他個人的大量信息,例如 IP 位址、手機型號、剩餘儲存量(?)、地理位置或 WiFi 網路名稱。幸運的是,該服務使用了良好的 SSL 加密,但這仍然留下了大量個人資料。這些數據可以用來做什麼? Paypal 在其使用條件中提到了打擊詐欺行為,但這可能有充分的理由…
另請閱讀:
行動支付應用:小心危險!,於 17/10/2014
來源 :
部落格筆記來自特洛伊亨特
