
2024年12月13日,吉隆坡—壹必投集团(CAPITALA)旗下的超级应用程序AirAsia MOVE(前称AirAsia Superapp)近日被曝存在多项安全性及隐私问题,引发外界对其用户数据保护的担忧。
网络安全问题浮现
根据网络安全网站LEAKD的静态测试,AirAsia MOVE存在安全漏洞和隐私风险。测试结果显示,网络犯罪分子(Threat Actors)或可通过欺诈手段获取用户的支付卡详细信息。
LEAKD指出,过去几周已有声称为亚航客户的人士投诉,在通过应用程序使用虚拟卡或支付卡购买机票后,其卡片遭到盗刷。类似问题早在2016年便有相关投诉,而近期社交媒体平台Reddit再次出现类似案例。
一名Reddit用户PastDepth9102发文称,在与亚航分享虚拟卡资料数月后,其信用卡被用来在沃尔玛进行海外购物,而该信用卡此前从未用于其他场所。另一位用户firealno9也反映,在预订亚航机票后立即收到授权通知,显示其卡片被尝试用于沃尔玛购物。
敏感数据暴露风险
LEAKD的分析表明,AirAsia MOVE存在多项权限问题,包括权限请求过多(例如READ_PHONE_STATE),该权限可能使不法分子收集用户设备的敏感信息。此外,应用程序的安全设计被评为薄弱,暴露了用户的敏感数据,严重削弱了整体安全性。
关键问题包括:
- 敏感信息记录及存储方式不当
- 使用过时或薄弱的加密算法,如MD5、SHA-1及ECB模式
- 某些文件具全局可读与可写权限,可能被恶意程序非法访问或修改
专家建议加强安全性
针对上述问题,LEAKD建议AirAsia MOVE改进应用程序安全设计,包括更新加密算法、优化权限请求管理,以及限制文件的读写权限,以有效防范潜在的网络安全威胁。
目前,AirAsia MOVE尚未就此事件作出进一步声明。用户则被提醒在使用该应用程序时应保持警惕,及时检查支付卡交易记录,避免可能的资金损失。
此安全事件不仅再次引发对应用程序隐私保护的关注,也为企业敲响了警钟,即在数字化服务中强化安全设计的重要性。
(编译:张佩茵)
Cr:东方日报