臉書app簽章金鑰被用來簽發第三方程式，疑似外流

臉書旗下一個app的簽章金鑰近日疑似外洩被用來簽發第三方程式，可能使駭客用來散布冒牌或惡意程式。

Android Police網站所有人Artem Russakovskii指出，過去幾個星期有多個Android版APK被上傳到其姐妹網站APK Mirror上。這些第三方業者開發的app使用的除錯簽章金鑰，竟然和臉書Free Basics Android版 app使用的簽章一樣。因此若非臉書將除錯用的簽章金鑰開放第三方廠商使用，就是不慎從臉書內部外洩了。Russakovskii指出，兩者都很蠢，即使是前者，將測試用的簽章用在正式版app，也非良好的開發作法。

Free Basics是臉書提供給新興國家及美國偏遠地區民眾免費上網的服務，在當地電信業者配合下，提供用戶基本網路內容及Facebook Lite、Messenger Lite。

app加密簽章的設計是利用憑證簽章證實app的真實性及完整性，可防止惡意程式假冒，或是app程式碼遭到他人竄改。一旦加密簽章金鑰外流，即可能讓惡意程式冒充合法app或是對它動過手腳，進而對不知情下載的用戶造成安全威脅。

Russakovskii通報後，臉書就將原版的Free Basics從Play Store撤下，並換上使用新簽章的新版app。但臉書對此隱而不談，也未通知用戶下載新版。Android Police批評，這將可能陷舊版Free Basics用戶於安全風險中。APK Mirror也會拒絕任何再使用舊金鑰的上傳程式。

Android Police報導，舊版Free Basics by Facebook app拿掉前，在Play Store的下載次數超過500萬。