壹必投集团(CAPITALA,5099,主板消费股)旗下的超级应用程序AirAsia MOVE(原名AirAsia Superapp)近日被曝存在多项安全性与隐私问题。
网络安全网站LEAKD通过静态测试发现,AirAsia MOVE存在安全漏洞和隐私风险。不仅如此,网络犯罪分子(Threat Actors)还可能通过欺诈手段获取部分用户的支付卡信息。
LEAKD指出,近期有用户反映,在使用该应用程式支付机票费用后,其付账卡(包括虚拟卡)遭到盗刷。类似投诉早在2016年便已出现。一名Reddit用户PastDepth9102曾透露,在与亚航共享虚拟卡信息数月后,其信用卡遭人尝试用于沃尔玛的海外购物,而该卡此前未曾在其他地方使用过。另一位用户firealno9也表示,在预订亚航机票后立即收到了信用卡消费的授权通知。
LEAKD指出,该应用程式暴露用户敏感数据,其权限请求过多,例如READ_PHONE_STATE权限,可能使攻击者从手机中提取敏感信息。测试还显示,AirAsia MOVE的安全性较弱,存在记录敏感信息和使用过时加密算法(如MD5、SHA-1及ECB模式加密)的问题。此外,应用程式某些文件的全局可读和可写入权限,也可能让恶意程序非法访问或修改数据。
这些问题不仅削弱了应用程式的整体安全性,还给用户隐私带来了潜在威胁。LEAKD强调,加强数据保护和修复漏洞刻不容缓,以维护用户信任和信息安全。