Home | Projects | Articles | Apophthegm | About |
「安心出行」黑盒渗透测试报告阅后感
香港民主委员会 (Hong Kong Democracy Council, HKDC) 聘请 7ASecurity 作黑盒渗透测试 (Blackbox Penetration Testing) 「安心出行」(LeaveHomeSafe) 某三个旧版本 (3.1.0,3.2.0 和 3.2.3)(现在是 3.3.0),再由自由亚洲电台 (Radio Free Asia, rfa) 在网上于二零二二年七月廿七日上午 (美国时间) 发佈了一份渗透测试报告。
开放技术基金会 (Open Technology Fund) 在其披露文章 (Disclosure) 中开宗明义地说明这个渗透测试报告的背景是有关政治的。并声称发现了若干的漏洞和私隐问题。
可是,在其报告中没有发现具体严重 (Critical) 或重 (High) 的问题或漏洞,至少他们不能提供具体的入侵证明程序 (Proof of Concept code, PoC code) 或步骤以证其说法。其最大发现只是该程序是由一间中国的软体公司开发的。再加上他们测试的是几个旧版本,虽然旧版本的问题是可以延续的,但经查看其报告没有具体严重或重的问题发现。
虽然其报告中说明有一项严重的漏洞就是当黑客进行中间人攻击 (Man-in-the-Middle attack, MitM) 时加密证书 (TLS Certificate) 没有发出警告 (Warning)。但一般在这种情况下是不可能有这样的警告的,所以这个所谓严重漏洞是不成立的。其建议将 App 和服务器的加密证书挂鈎钉在一起 (pinned),但这是行不通的。若果服务器的证书更新了,所有 App 便不能与其联络连接,这怎么办?所以这个建议是行不通的。而 OWASP 的所谓 pinned,是指服务器与加密证书挂鈎钉在一起,而非 App 与服务器的证书钉在一起。至于其声称是中 (Medium) 的钓鱼问题或漏洞,只是说有可能 (Possible),而非被证实的。而且亦没有提出有关渗透入侵的证明程序或步骤以证其说法。
最后其报告中有十三条问题关于私隐的,而且亦发现不了所谓后门 (Backdoor)。至于其他声称所谓证实违反私隐的问题都不是什么的问题,而是一些正常和普遍的情况,所以并不列为有违私隐。
所以基本上「安心出行」是安全的。不得不说这份渗透测试报告实在太烂了!
Samiux
OSCE OSCP OSWP
二零二二年七月廿八日,中国香港
参考资料:
- 7ASecurity, OTF Red Team Lab partner, completes Blackbox Pentest and Privacy Audit of LeaveHomeSafe App
- 報告:香港「安心出行」防疫軟件有重大安全漏洞
- 渗透测试报告
- 7ASecurity
- 香港民主委員會
- 自由亚洲电台
- 資科辦就《安心出行》安全性作出嚴正聲明 堅決反對海外網絡安全公司報告
- 美波網安機構批「安心出行」存保安漏洞 政界中人斥報告為講而講
Home | Projects | Articles | Apophthegm | About |