本文講的是<b>智慧城市真的安全嗎?看看這款APP的分析報告</b>,今年早些時候,我收到了我們市政府的一個NextDoor訊息,聲稱他們為群眾提供了(購買)一個智慧城市應用程式。在此之前并沒有任何關于這個應用程式的資訊,而我也沒有在網上找到其相關的内容,是以對于它我非常有興趣盡興更多地了解。
根據應用程式的描述,Bright City是“為城市和執法機構面向群眾提供服務的專用移動應用程式”。除了NextDoor公告中提到的“财産鎖箱”功能外,該應用還支援接收和送出報告可疑活動,當群眾離開家之後進行财産監控保護,保護公民的家,并可報告市政維護問題。Bright City的網站上還介紹了一些額外的功能,包括公民可以去了解市政費用的去向,許可證等内容。
而我們可以看到應用程式中涉及的資訊的性質似乎非常敏感,是以我很有興趣進行仔細觀察。我下載下傳安裝了應用程式,建立了一個帳戶并登入。這是初始面闆:
接下來我開始浏覽應用中的某些選項,以生成一些API流量,在這一過程中沒有發現到一些非常嚴重的問題 。下面是應用程式在擷取目前使用者的配置檔案資訊時所做的請求示例:
這裡和我最近寫的另一個本地市政應用程式類似,該請求不需要任何身份驗證。毫無疑問這是令人震驚的,因為這會使一切變得更糟。以下是對上述請求的API響應:
請注意,雖然我從上面的輸出中删除了它,但使用者的密碼是以純文字形式傳回的。顯然,這一點也非常的糟糕。
接下來,我決定反編譯應用程式,看看我是否可以找到更詳盡的API端點清單(以及是否需要任何身份驗證)。這是過程中主要的活動:
我打開了 editlockbox.js 檔案,并檢視了一下包含一些API請求的JavaScript:
您可以看到,所有請求都以類似的方式進行,沒有任何身份驗證或會話狀态機制。接下來,我寫了一個快速腳本來搜尋所有的JavaScript檔案,以生成所有端點的清單:
此外,我在我的帳戶下設定了一個“鎖箱”,并上傳了一些圖像來測試其功能。而對于我的目錄清單被允許檢視這一點我沒有絲毫的意外,這意味着應用程式中所有上傳的文檔和圖像都可以被公開通路。
風險
毫無疑問,使用此應用程式的公衆面臨的風險非常多并且十分嚴重。應用程式本身存儲的敏感資訊,攻擊者可以輕易獲得,進而可以以其他使用者(或警察機構)的身份向系統内送出欺詐性的活動和事件。
沒有基本的認證要求,任何應用程式資訊或操作/事件的完整性都不能保證是合法的。必須要清楚的一點是,這個應用程式中包含有使用者密碼(和其他個人資訊),可疑人員的常駐報告,公民電子目錄,甚至本系統中存儲和使用的付款資訊,而這些都是不安全的。
同樣需要注意的是,其對于使用者的影響可能遠遠超過Bright City系統。使用者在多個系統中使用相同的密碼是常見的,是以以明文形式顯示使用者密碼可能導緻其他帳戶(例如電子郵件,銀行,社交媒體)的一一告破。
報告
目前我已經就如何以最有效的方式解決這些問題進行了多次的推敲理論。在我的其他部落格文章中,我總是盡力與供應商合作,報告和修補已識别的漏洞 – 但這次有點不同。我積極的向市政府報告了上述問題,我們有一個簡短的通話來對此進行讨論。盡管供應商最終将整個應用程式脫機以實作身份驗證,但我報告的其他許多問題仍未解決(包括目錄清單問題)。
編者:在各類智慧城市、智慧社群等概念大舉進入我們的生活中時,我們仍然需要時時刻刻的去關注安全問題,智慧化智能化的裝置、程式固然能夠使我們的生活更為便捷,但安全出了問題也可能讓我們的生活陷入一片黑暗。
原文釋出時間為:2017年7月31日
本文作者:魯班七号
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/6843.html" target="_blank">原文連結</a>