4成Android App具高資安風險

資安公司Webroot日前公布一份2014年行動威脅報告，分析2011年～2013年總計590萬個App，以及12.5萬支遺失的行動裝置後發現，Android平臺上，有42％的App是屬於對使用者造成高資安風險的App；但在iSO平臺上，雖然沒有對使用者造成資安風險的App，但iOS可信任的App卻只有Android的一半。

Webroot行動威脅報告中，將所有的App區分成6大類，包括：惡意的（Malicious）、非必要的（Unwanted）、可疑的（Suspicious）、普通的（Moderate）、良好的（Benign）和可信任的（Trustworthy），其中，前三項App類別將對使用者造成高資安風險，後三項App類別則不會對使用者造成資安風險。

Webroot威脅分析團隊研究Android平臺將近400萬個App後發現，2013年App威脅比2012年成長將近4倍（384％）。其中，有15％的App是惡意App，可疑的App則有14％，非必要的App則有13％，也就是說，當使用者安裝上述App時，將會對使用者帶來高資安風險的比例超過4成（42％）；而普通的App占6％，良好的App占比最多，將近4成（38％），可信任的App則有14％。Webroot表示，Android有過半App（58％）沒有資安風險。

分析Android平臺上在2013年的惡意App，會出現一些惡意行為，例如，有38.7％的惡意App會傳送惡意簡訊，39.8％惡意App則會讓使用者有意或無意安裝廣告或不想安裝的App，其餘8.9％則是隱身在正常的App中，難以察覺。

Webroot指出，發送惡意簡訊App常見於發送樂透、採購或者是透過某些文字訊息，讓使用者願意透過電信業者進行某些小額付費或金流的作為；至於廣告及不想安裝App，多數都含有很濃厚的廣告成分，而且會在使用者不知道的情況下，存取使用者手機中的某些資訊。例如，某些手電筒的App就會試圖存取使用者手機內的通訊錄名單或者是啟動照相機功能。有一些惡意App則偽裝或隱身在正常的App中，除非透過深入的檢測分析，不然就很難察覺這些是惡意App。

若進一步分析這些惡意App的感染來源，Webroot威脅分析團隊發現，有29.3％惡意App來源是因為安裝惡意遊戲App，尤其是許多朝向BYOD發展的企業，員工透過自己的行動裝置存取公司的應用系統時，但員工手機安裝了惡意遊戲的App時，這類行動威脅風險更容易影響到企業資安的領域。

比較Android和iOS平臺之間的惡意App感染風險，Webroot分析超過100萬個iOS平臺上的App後發現，高達92％的App都是良好的App，普通App占1％，可信任的App則占了7％。Webroot指出，iOS平臺上的App幾乎沒有惡意App在內，主要是因為iOS平臺的App Store比起Google Play或其他第三方應用程式市集，有更嚴謹的審核程序，大幅降低惡意App存在的風險。

但Webroot威脅分析團隊也發現，iOS平臺上只有7％可信任的App，比14％Android可信任App少了一半，這和iOS平臺上的使用者，希望App作者利用廣告獲利的方式，取代讓使用者付費購買App的想法有關係。

Webroot在這份調查中建議，使用者在安裝各種App時，都應該從可以信任的管道安裝，例如合法的Google Play或者是iTune，而開始安裝App時，應該審慎評估允許安裝的要求內容為何，避免使用者無意間同意安裝有害的App。Webroot也強調，當使用者開始在企業內用自己的行動裝置時，對於安裝各種App應該要更小心，設定鍵盤鎖是基本的安全措施，而8碼的鍵盤鎖比4碼更安全。