安全研究人员调查表示,停车app通常并不安全。
目前运行有偿停车服务的公司正在全英国推广移动app作为替代投币/刷卡的付款方式。停车厂商通常青睐于使用Apple iOS和安卓付款的顾客。安全研究人员对6款安卓app进行了测试,目的是发现这些app上普遍存在的安全漏洞。
测评范围限定在智能手机本身的供给面,包括厂商发布的APK和所有跟互联网支持服务器交互而存储在手机上的数据。测评并未通过控制发送至服务器的数据而调查所存在的问题。
调查结果显示,几乎所有的app都受到安全漏洞的影响,其中最普遍的一个漏洞是普遍的加密实现。数据在未加密的情况下发送会被拦截或被连接到相同网络的攻击者篡改。多数app都使用了TLS,但并没有一个app验证了该服务器所使用的证书,也就是说利用一个拦截代理工具可以发动中间人攻击。而且更加严重的一个问题是其中一个厂商并没有使用行业标准的TLS,而是推出自己的加密计划。而用来“加密”信用卡详情和密码的密钥被存储在app代码中而且“很容易被通过反编译app来追踪这些信息。”这就使得黑客能够“在注册过程中已拦截的网络流量中恢复信用卡详情。”
除此之外,安全研究人员还发现了其它危害性相对较小的安全漏洞如PIN或密码数据存储问题等。随后,app开发人员都相继采取有效措施来修复这些漏洞。此外,安全研究人员还提出了一些应对措施如使用最新版本的安卓API来开发app、利用安全的配置TLS、利用合适的哈希算法等保护数据等。