(吉隆坡13日讯)壹必投集团(CAPITALA,5099,主板消费股)旗下超级应用程序--AirAsia MOVE(前名为AirAsia Superapp)被爆存在安全性和隐私问题。
根据网络安全网站LEAKD所进行的静态测试, AirAsia MOVE应用程式存有安全性和多个隐私问题。
不仅如此,LEAKD发现网络不法分子(Threat Actors)还能够以欺诈方式,获取使用应用程式中一些客户的支付卡详细资讯。
LEAKD指出,过去数周,有自称是亚航的客户,在使用付账卡(甚至是虚拟卡)购买机票后被盗刷。
“早在2016年,网络上就曾经出现类似的投诉。”
去年11月,在社交媒体平台Reddit,一名用户PastDepth9102发文表示,在应用程式上与亚航分享虚拟卡资料的数月后,就有人尝试使用其信用卡在沃尔玛进行海外购物,而这张信用卡从未在其他地方使用过。
另一位用户firealno9也表示,他们在预订亚航机票后立即收到了在沃尔玛使用卡消费的授权通知。
暴露用户数据
“事主还分享了截图,展示潜在的诈欺行为。”
LEAKD在进行了静态测试后,显示亚航的应用程式发出了太多的权限请求,例如READ_PHONE_STATE,而这项请求允许不法分子从手机中收集敏感资料。
分析还发现该应用程式的安全性较差,存在漏洞,暴露了敏感的用户数据,削弱了整体安全结构。
“关键问题包括记录敏感资讯,使用过时或薄弱的加密演算法,例如MD5、SHA-1和ECB模式加密。”
此外,LEAKD表示,该应用程式不完善,对某些档案具有全局可读和可写入权限,这可能导致恶意应用程式非法存取或修改。