圖片來源: 

周峻佑攝

隨著智慧型手機等行動裝置的應用日益普及,臺灣企業與公部門的許多業務,都推出了行動App,然而,許多開發者以為有了加密保護措施,App就具備足夠的安全性,忽略相關防護措施是否到位。在今年4月叡揚資訊年度解決方案日的活動上,該公司針對臺灣80款常見的App執行黑箱檢測,發現近7成的App含有無用功能,這些模組可能會遭到攻擊者濫用,呼籲企業要重視行動App的開發安全。

叡揚資訊資深產品經理游文賢表示,他們檢測的80款行動App,主要來自我國中央部會與5都市政府,以及電信業者、金融單位、航空公司、電子商務平臺等單位,而且,提供App的企業,必須是該領域裡極具代表性的業者。這些App,在App Store或Google Play商店裡,擁有相當的知名度,不只是同類型App裡排行前20名,而且下載數量也超過10萬次以上。另外,它們都涉及處理較為敏感的使用者個資,包含身分證字號、銀行帳號,以及信用卡資料等。叡揚指出,超過半數受測App是由銀行提供的程式,而由政府機關、交通業者與電信業者推出的App,分別占12%至14%之間,至於電商網站平臺的App比例最少,僅為6%。

至於檢測的方式,叡揚則是根據OWASP Mobile 2016規範,以及美國國家資訊安全保障合作組織(National Information Assurance Partnership,NIAP)的要求,採用叡揚資訊旗下代理的Kryptowire進行黑箱測試,他們發現,其中總共有多達59款App含有至少一個以上的漏洞。可惜的是,礙於正在向App提供者通報檢測結果的階段,叡揚並未公布完整的App檢測報告。

內含未使用模組成App資安死角

在OWASP Mobile 2016的10大風險中,這些受測的App就涉及其中7種,絕大多數App隱含的共同風險,是應用程式包含了額外、不相關的功能模組,共有54款出現這種現象。雖然這種現象不會直接帶來危害,但是如今駭客手法刁鑽,很可能鎖定開發者實際沒有使用的程式庫,找尋其中的漏洞,發動攻擊。游文賢更進一步指出,企業為了將防護的效益最佳化,保護措施通常集中於正式上線的各式功能,未必會針對行動應用程式裡沒有使用的模組,像是供測試專用的部分App功能,也不一定涵蓋到應用系統伺服器等,予以防護,而這些模組一旦被攻破,駭客很可能就得以長驅直入企業內部環境,因此,這種問題背後隱含的風險,其實相當嚴重。

再者,僅次於上述現象的行動App風險,則是存放資料的措施不安全,也有多達49款。

除了上述2種資安風險,其他從App發現的弱點,包含像是採用不安全的通訊機制、行動應用App能被逆向工程破解,以及加密強度不足等風險。

在OWASP Mobile 2016所列出的10大行動應用程式風險中,叡揚檢測的臺灣在地80款App裡,就出現了圖中的7種,最氾濫的2項風險,分別是存在無用功能與資料儲存不安全。

寫死的加密金鑰可能遭到濫用

在另一項根據NIAP所進行的測試中,叡揚發現這80款App裡,總共存在了11種資安風險。這些資安風險與前述OWASP檢測發現的項目相比,可說是大致相近,包含App本身含有無用檔案(Leftover Files)、App編譯時採用不安全的組態,還有使用強度不足的加密字串(Encryption Seed)等,但多了一些較為詳細的項目,像是將加密金鑰寫死在程式碼裡,或是不安全的SSL連線等。

從美國國家資訊安全保障聯盟(NIAP)檢測規範來看,受測的行動應用App裡,共出現了共11種風險,大致涵蓋了前述OWASP Mobile 2016 Top 10檢測結果裡的多數發現,但其中部分項目也區分更為詳細,以加密機制安全性不足的風險而言,就至少出現了不安全的加密與加密字串(Encryption Seed),以及寫死在程式碼的加密金鑰等。


Advertisement

更多 iThome相關內容