遺留無用功能或檔案而疏於防護，是臺灣熱門行動應用App常見的資安風險

隨著智慧型手機等行動裝置的應用日益普及，臺灣企業與公部門的許多業務，都推出了行動App，然而，許多開發者以為有了加密保護措施，App就具備足夠的安全性，忽略相關防護措施是否到位。在今年4月叡揚資訊年度解決方案日的活動上，該公司針對臺灣80款常見的App執行黑箱檢測，發現近7成的App含有無用功能，這些模組可能會遭到攻擊者濫用，呼籲企業要重視行動App的開發安全。

叡揚資訊資深產品經理游文賢表示，他們檢測的80款行動App，主要來自我國中央部會與5都市政府，以及電信業者、金融單位、航空公司、電子商務平臺等單位，而且，提供App的企業，必須是該領域裡極具代表性的業者。這些App，在App Store或Google Play商店裡，擁有相當的知名度，不只是同類型App裡排行前20名，而且下載數量也超過10萬次以上。另外，它們都涉及處理較為敏感的使用者個資，包含身分證字號、銀行帳號，以及信用卡資料等。叡揚指出，超過半數受測App是由銀行提供的程式，而由政府機關、交通業者與電信業者推出的App，分別占12%至14%之間，至於電商網站平臺的App比例最少，僅為6%。

至於檢測的方式，叡揚則是根據OWASP Mobile 2016規範，以及美國國家資訊安全保障合作組織（National Information Assurance Partnership，NIAP）的要求，採用叡揚資訊旗下代理的Kryptowire進行黑箱測試，他們發現，其中總共有多達59款App含有至少一個以上的漏洞。可惜的是，礙於正在向App提供者通報檢測結果的階段，叡揚並未公布完整的App檢測報告。

內含未使用模組成App資安死角

在OWASP Mobile 2016的10大風險中，這些受測的App就涉及其中7種，絕大多數App隱含的共同風險，是應用程式包含了額外、不相關的功能模組，共有54款出現這種現象。雖然這種現象不會直接帶來危害，但是如今駭客手法刁鑽，很可能鎖定開發者實際沒有使用的程式庫，找尋其中的漏洞，發動攻擊。游文賢更進一步指出，企業為了將防護的效益最佳化，保護措施通常集中於正式上線的各式功能，未必會針對行動應用程式裡沒有使用的模組，像是供測試專用的部分App功能，也不一定涵蓋到應用系統伺服器等，予以防護，而這些模組一旦被攻破，駭客很可能就得以長驅直入企業內部環境，因此，這種問題背後隱含的風險，其實相當嚴重。

再者，僅次於上述現象的行動App風險，則是存放資料的措施不安全，也有多達49款。

除了上述2種資安風險，其他從App發現的弱點，包含像是採用不安全的通訊機制、行動應用App能被逆向工程破解，以及加密強度不足等風險。

在OWASP Mobile 2016所列出的10大行動應用程式風險中，叡揚檢測的臺灣在地80款App裡，就出現了圖中的7種，最氾濫的2項風險，分別是存在無用功能與資料儲存不安全。

寫死的加密金鑰可能遭到濫用

在另一項根據NIAP所進行的測試中，叡揚發現這80款App裡，總共存在了11種資安風險。這些資安風險與前述OWASP檢測發現的項目相比，可說是大致相近，包含App本身含有無用檔案（Leftover Files）、App編譯時採用不安全的組態，還有使用強度不足的加密字串（Encryption Seed）等，但多了一些較為詳細的項目，像是將加密金鑰寫死在程式碼裡，或是不安全的SSL連線等。

從美國國家資訊安全保障聯盟（NIAP）檢測規範來看，受測的行動應用App裡，共出現了共11種風險，大致涵蓋了前述OWASP Mobile 2016 Top 10檢測結果裡的多數發現，但其中部分項目也區分更為詳細，以加密機制安全性不足的風險而言，就至少出現了不安全的加密與加密字串（Encryption Seed），以及寫死在程式碼的加密金鑰等。