脸书app签章密钥被用来签发第三方程式，疑似外流

脸书旗下一个app的签章密钥近日疑似外泄被用来签发第三方程式，可能使黑客用来传播冒牌或恶意程序。

Android Police网站所有人Artem Russakovskii指出，过去几个星期有多个Android版APK被上传到其姐妹网站APK Mirror上。这些第三方企业开发的app使用的调试签章密钥，竟然和脸书Free Basics Android版app使用的签章一样。因此若非脸书将调试用的签章密钥开放第三方厂商使用，就是不慎从脸书内部外泄了。Russakovskii指出，两者都很蠢，即使是前者，将测试用的签章用在正式版app，也非良好的开发作法。

Free Basics是脸书提供给新兴国家及美国偏远地区人们免费上网的服务，在当地电信企业配合下，提供用户基本网络内容及Facebook Lite、Messenger Lite。

app加密签章的设计是利用凭证签章证实app的真实性及完整性，可防止恶意程序假冒，或是app程序代码遭到他人篡改。一旦加密签章密钥外流，即可能让恶意程序冒充合法app或是对它动过手脚，进而对不知情下载的用户造成安全威胁。

Russakovskii通报后，脸书就将原版的Free Basics从Play Store撤下，并换上使用新签章的新版app。但脸书对此隐而不谈，也未通知用户下载新版。Android Police批评，这将可能陷旧版Free Basics用户于安全风险中。APK Mirror也会拒绝任何再使用旧密钥的上传程序。

Android Police报导，旧版Free Basics by Facebook app拿掉前，在Play Store的下载次数超过500万。