App 程式如同瀏覽器：行動裝置 App 程式值得信任嗎？


作者：David Sancho 趨勢科技資安威脅高級研究員

當趨勢科技的研究小組在進行腦力激盪，試圖找出值得研究的計劃時，有人提到手機 App 程式其實骨子裡就是一個「經過包裝的瀏覽器」。

請容我娓娓道來。當您打開您最愛的 App 程式，它很可能會連上某個網站，然後以某種方式呈現所取得的資料。當然，並非所有手機 App 程式都會這麼做，只不過絕大部分是如此。我所說的並不侷限於 Amazon 或 eBay 的 App 程式 (這些當然看起來像瀏覽器，只不過查詢的對象僅限於他們的特定伺服器而已)，還有像 Flipboard 這類的 App 程式也是。我很喜歡 Flipboard，但骨子裡，它只不過是連上 Facebook 和Twitter，然後用漂亮的方式來呈現內容而已 (好吧，它非常漂亮)。

這樣的情況會不會讓 App 程式更容易遭遇到一般瀏覽器不會遇到的狀況 (也就是不可預期的行為) 呢？例如，如果某個 App 程式會發送制式化的請求到特定的網站，是不是會有人利用這一點來操弄這個 App 程式或這個網站呢？

我針對這一點展開了研究，並且建立了一個環境來窺探所有進出 Android 和 iPhone/iPad 行動裝置 App 程式的網路流量。我測試了很多 App 程式，查看它們的流量，看看是否有些漏洞可以利用，結果我真的有所發現。

我的朋友推薦了一個顯然非常熱門的資源管理遊戲。這個遊戲每星期都會提供一份獎品給遊戲玩家。但現在他們已經取消了這項作法，這有可能是我的錯 (儘管我從未直接和他們聯繫)。這項機制的運作方式大致如下：如果您在遊戲開發廠商的 Facebook 網頁上按「讚」，他們就會提供一個密碼給你，該密碼可在特定的周末解開某些隱藏的資源。每周末都會換一組新的密碼，該密碼只在那二天有效。

如果您在遊戲開發廠商的 Facebook 網頁上按「讚」，他們就會提供一個密碼給你，該密碼可在特定的周末解開某些隱藏的資源

這項機制的技術實作採用了很簡單的 HTTP 請求：「這是密碼」，伺服器的回應也很簡單：「這是你的 10 份黃金和 10 份食物，謝謝。」換句話說，您只要透過簡單且未加密的 HTTP 請求，就能從外部操弄該遊戲。當然，要在實驗內將遊戲伺服器導向一台假冒的本地端伺服器，然後將回應給遊戲的內容改成「這是你的 10000 份黃金和 1000 份食物」只不過是小事一樁。要是我有機會再遇到我的朋友，並且給他看看我的遊戲進度，他一定會嚇死。

將遊戲伺服器導向一台假冒的本地端伺服器透,過簡單且未加密的 HTTP 請求，就能從外部操弄該遊戲。

這次的迷你攻擊給了我們一個顯而易見的啟示：缺乏保護的制式化 HTTP 通訊不值得信賴。

其他 App 程式還有一些其他的問題，例如，某個專門銷售 Android 專用健身課程的程式。這些課程包含了一些運動項目的說明、圖片、教練解說，以及一些指示、計時方式和課程順序。所有的資料都存放在一個 XML 檔案當中，並且透過連結來指向每個圖片和聲音檔。沒錯，你猜對了，這個 XML 是透過未加密的 HTTP 通訊下載。我大可以猜一下這個 XML 檔案的名稱，就可能下載到這個檔案，不過我沒試。

我還看到了一些其他的問題，但整個實驗計劃讓我最困擾的要把我的發現寫下來。我發現的問題實在是五花八門，而且跟任何網站入侵測試實在沒什麼兩樣。所以，雖然用戶端是行動裝置應用程式，但實際上我卻是看到了許多不安全的網站程式碼。畢竟，如同我一開始所說：所有的行動裝置 App 程式基本上都是網站的用戶端，因此也像瀏覽器一樣不安全，您也應該這樣看待。

這麼說，我的計劃失敗了嗎？或許吧，但也讓我知道 App 程式開發人員以及我們應如何看待這些程式，那就是：它們只不過是包裝精美但卻不安全的瀏覽器而已。

◎原文來源:
Apps as Browsers: Can You Trust Your Mobile Apps?)

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚