(吉隆坡13日讯)壹必投集团(CAPITALA,5099,主板消费股)旗下超级应用程序--AirAsia MOVE(前名为AirAsia Superapp)被爆存在安全性和隐私问题。

根据网络安全网站LEAKD所进行的静态测试, AirAsia MOVE应用程式存有安全性和多个隐私问题。

不仅如此,LEAKD发现网络不法分子(Threat Actors)还能够以欺诈方式,获取使用应用程式中一些客户的支付卡详细资讯。

LEAKD指出,过去数周,有自称是亚航的客户,在使用付账卡(甚至是虚拟卡)购买机票后被盗刷。

“早在2016年,网络上就曾经出现类似的投诉。”

去年11月,在社交媒体平台Reddit,一名用户PastDepth9102发文表示,在应用程式上与亚航分享虚拟卡资料的数月后,就有人尝试使用其信用卡在沃尔玛进行海外购物,而这张信用卡从未在其他地方使用过。

另一位用户firealno9也表示,他们在预订亚航机票后立即收到了在沃尔玛使用卡消费的授权通知。

暴露用户数据

“事主还分享了截图,展示潜在的诈欺行为。”

LEAKD在进行了静态测试后,显示亚航的应用程式发出了太多的权限请求,例如READ_PHONE_STATE,而这项请求允许不法分子从手机中收集敏感资料。

分析还发现该应用程式的安全性较差,存在漏洞,暴露了敏感的用户数据,削弱了整体安全结构。 

“关键问题包括记录敏感资讯,使用过时或薄弱的加密演算法,例如MD5、SHA-1和ECB模式加密。”

此外,LEAKD表示,该应用程式不完善,对某些档案具有全局可读和可写入权限,这可能导致恶意应用程式非法存取或修改。

热门新闻

阅读全文

【新加坡大选】行动党蝉联执政 工人党政治版图扩大

阅读全文

烧烤摊违反行管令 老板顾客全被对付

阅读全文
档案照

哈萨克爆发不明肺炎 致死率远高于新冠病毒

阅读全文

CNN记者讲述北京防疫 女主播惊讶摇头