當趨勢科技的研究小組在進行腦力激盪,試圖找出值得研究的計劃時,有人提到手機 App 程式其實骨子裡就是一個「經過包裝的瀏覽器」。
請容我娓娓道來。當您打開您最愛的 App 程式,它很可能會連上某個網站,然後以某種方式呈現所取得的資料。當然,並非所有手機 App 程式都會這麼做,只不過絕大部分是如此。我所說的並不侷限於 Amazon 或 eBay 的 App 程式 (這些當然看起來像瀏覽器,只不過查詢的對象僅限於他們的特定伺服器而已),還有像 Flipboard 這類的 App 程式也是。我很喜歡 Flipboard,但骨子裡,它只不過是連上 Facebook 和Twitter,然後用漂亮的方式來呈現內容而已 (好吧,它非常漂亮)。
這樣的情況會不會讓 App 程式更容易遭遇到一般瀏覽器不會遇到的狀況 (也就是不可預期的行為) 呢?例如,如果某個 App 程式會發送制式化的請求到特定的網站,是不是會有人利用這一點來操弄這個 App 程式或這個網站呢?
我針對這一點展開了研究,並且建立了一個環境來窺探所有進出 Android 和 iPhone/iPad 行動裝置 App 程式的網路流量。我測試了很多 App 程式,查看它們的流量,看看是否有些漏洞可以利用,結果我真的有所發現。
我的朋友推薦了一個顯然非常熱門的資源管理遊戲。這個遊戲每星期都會提供一份獎品給遊戲玩家。但現在他們已經取消了這項作法,這有可能是我的錯 (儘管我從未直接和他們聯繫)。這項機制的運作方式大致如下:如果您在遊戲開發廠商的 Facebook 網頁上按「讚」,他們就會提供一個密碼給你,該密碼可在特定的周末解開某些隱藏的資源。每周末都會換一組新的密碼,該密碼只在那二天有效。
