台北科技大學 校園行動APP OpenWeatherMap API 憑證/資料外洩(Information Leakage) - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-01334
  •  發信 Vendor: 台北科技大學
  • Title: 台北科技大學 校園行動APP OpenWeatherMap API 憑證/資料外洩(Information Leakage)
  • Introduction: Android 應用程式(可能 iOS 同樣存在)在對第三方氣象服務(OpenWeatherMap)呼叫時,將可重用的 API 資訊暴露,導致敏感資訊或可被濫用之 API URL/Key 外洩。

處理狀態

目前狀態

公開
Last Update : 2025/11/01
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2025/10/13 15:52:39 : 新提交 (由 張常潤 更新此狀態)
  • 2025/10/15 15:56:58 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/17 13:43:13 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/17 13:43:13 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/17 13:43:13 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/27 17:46:28 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2025/10/28 08:37:14 : 確認已修補 (由 張常潤 更新此狀態)
  • 2025/11/01 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-01334
  • 通報者:changrun1 (張常潤)
  • 風險:中
  • 類型:資訊洩漏 (Information Leakage)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://nportal.ntut.edu.tw/marketQRcodeDownload.do?id=12

敘述

我發現台北科技大學校園行動APP(Android版本,iOS版本可能同樣存在)在與第三方氣象服務OpenWeatherMap進行API通訊時,存在憑證外洩風險。應用程式在發送氣象資料請求時,將可重複使用的API Key直接暴露在網路封包中。
漏洞重現步驟:
使用抓包工具監控APP網路流量

開啟APP自動觸發氣象資料更新功能

分析封包可發現對OpenWeatherMap API的請求包含API Key

取得API Key後可直接透過Postman進行驗證,確認可未經授權存取氣象服務

影響層面:
外洩的API Key可能被濫用導致服務商向原持有者收取超額費用

攻擊者可冒充合法應用程式存取氣象資料服務

證據截圖:
圖片 學校官網APP下載頁面
圖片 抓包畫面顯示API Key在請求中明文傳輸
圖片 使用外洩API Key透過Postman成功獲取氣象資料

修補建議

立即撤換已外洩的API Key,並避免在客戶端應用程式中硬編碼API Key,改由後端伺服器代理發送請求,由伺服器保管API Key。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;