美军一份网络安全审核报告显示,二款用于作战的Android app有重大漏洞可能让黑客访问军事部局的信息,而且去年三月就有人通报却遭到上级上司的忽视。
这份报告是去年6月美国特别顾问办公室要求国防部长,后者再责成海军部长针对防御系统进行网络安全审核的结果,周四由海军总督察长室(Office of Inspector General )公布。两款Android app分别是KILSWITCH (Kinetic Integrated Low-Cost Software Integrated Tactical Combat Handheld) 及APASS (Android Precision Assault Strike Suite)被发现有漏洞。
这二款app主要提供作战相关包括攻击目标、邻近敌军及友军部局的卫星图片,借此取代传统地图或雷达扫瞄图。其中KILSWITCH可集成战机,作战美军可借由即时通信软件和其他部队联系,甚至可以在触摸屏幕上点几下,就能调用空中支持或进行攻击任务。
Engadget报导,这两款App原本是为作战训练而设计,开发人员的安全实例较为忽视。由于二款App接口非常炫,因此在美国军队之间甚为流行,随后又被用于实地作战任务。
这份报告大量隐去了漏洞性质、数量、受影响的软件版本、搭载的设备为何等关键信息,但指出为严重漏洞,开发过程不严谨,而且美国军方从未评估过这些漏洞的影响,也未能适当告知士兵,导致该软件被用于不当用途。所幸KILSWITCH及APASS仅有Android版本,而且美国海军陆战队使用的软件可有效缓解这些漏洞。
此外,报告还纠正美国海军,早在一年多前就有吹哨者多次向上司通报这二款app的漏洞。 ZDNET报导报告中名字被隐去的吹哨者就是Anthony Kim。 Washington Free Beacon报导,去年三月KILSWITCH app开发单位之一的美海军武器系统中心担任分析师的Kim发现了KILSWITCH及APASS的漏洞,并向直属上司报告,却遭到忽视。他锲而不舍,最后引用美国吹哨者法案直接上告海军最高层级,才让海军启动此事调查。当时Kim却遭到军方强迫休假、扣留薪水等惩处。本次报告算是还给了Kim一个公道。
本周美国国防部才公布调查报告,纠举军方导弹飞弹系统网络安全防护不足,不但漏洞没修补,连加密传输、入侵侦测及多因素验证系统都没有。