據統計2017年全球App下載量達1,750億次,消費者平均每天花費近3小時使用App,顯見App與人類生活緊密結合,滲入購物、影音、遊戲、社群、金融理財等等眾多面向;伴隨指尖經濟發燒,駭客染指App的頻率不斷激增,尤其涉及個資與財務利益的金融App,更成為首要覬覦對象。

有鑑於此,金管會要求銀行須針對App進行全面安全檢測,預估最快到明年(2019),保險業亦可能被納入規範;以壽險業為例,除應遵循壽險公會訂定之「壽險[DY1] 業辦理資訊安全防護自律規範」第9條,依據壽險業提供行動裝置應用程式作業原則,建立行動App資訊安全控管機制,以強化行動裝置應用之安全外,亦須參照經濟部工業局公告之「行動應用App基本資安自主檢測推動制度」,每年將App送交認證實驗室接受檢測。

由此可見,App確實蘊藏莫大資安風險,舉凡遊戲、支付、電子商務、政府、銀行或保險業等等任何提供App服務的垂直領域,皆應強化App保護。值此時刻,類似像果核數位appGuard的App安全防護服務,即可扮演及時雨,幫助業主以最快速度補強App資安罩門。

App功能日增,資安風險隨之提升

果核數位appGuard營運處資安顧問Eric Lien指出,綜觀現階段保險業App,多僅提供查詢功能,而業者為加快上架時程,在開發時並不特別講究資安;但展望今後,隨著線上投保、資費計算等等更多加值服務應運而生,業者若不導正以往做法,恐讓App用戶陷入更嚴重的個資外洩危機。

Eric Lien甚至認為,業者不宜僅追求在程式面上儘量符合規範,必須通盤考量程式開發的所有面向。舉例而言,Android屬於開放式架構,任何人只要下載Android App,都有機會透過反組譯了解程式架構,進而重新打包、偽冒,誘騙不知情的大眾加以使用;業者若只求合規,未必能妥善顧慮逆向工程防制需求。

果核數位客戶經理Ryan Lee歸納,總體來說,假設App資安做得不到位,使App遭到破解,造成偽冒App流入市集,輕則被分食流量與廣告費,重則導致使用者個資被竊取、洩漏或竄改,讓業者的商譽受創。難免有業者掉以輕心,自認其App僅具認證功能與連網行為,尚未涉及交易功能與客戶個人資料處理,面臨的風險或許不大,殊不知駭客仍可藉此了解程式碼撰寫方式、使用的函式庫,甚至竊取憑證,進而利用App輕鬆攻陷後臺伺服器,釀成慘重災情,不可不慎。

而果核appGuard是App的資安防護服務,可藉由防止逆向工程,程式碼加密、讓Debugger工具失效以及完整性校驗等功能,持續確保App安全強度,有效防止破解、原始碼失竊,避免個資外洩。Eric Lien強調,appGuard有幾大優勢,除了安全強度極高可以有效防止駭客攻擊外,最大優勢在於「不需修改原始碼」,只要保險公司提供APK(Android Application Package),不論背後開發架構為何,果核都能量身打造最適合的保護策略。

不改程式碼,30分鐘內啟動App防護

他進一步解釋,同業普遍採用SDK方式,將保護元件置入原始碼,意謂業主必須對外提供原始碼,會有智慧財產洩露疑慮,且隨著原始碼被改動,也可能導致App功能出現相容性問題。對此Ryan Lee補充說,將保護元件擺放至原始碼,通常是一段段的作業,並非一蹴可幾,起碼耗時3個月以上,但只要任何一段作業失誤,都可能因反覆修正而延宕時程,所以亟需倚賴具經驗與功力的架構師。除此之外,同業SDK透過Java層的防護機制進行App保護,可是對駭客來說,Java層級的防護機制和程式碼混淆,只能延緩破解的時間,駭客可輕易透過逆向工程反編譯出程式碼,只要駭客了解保護機制的邏輯之後,例如:偵測root的機制、憑證校驗等機制,透過逆向工程修改,就可以順利破解出竄改包或者繞過防護機制進行惡意攻擊。因此,appGuard藉由防止逆向工程,程式碼加密,防止駭客反編譯出原始碼;讓Debugger工具失效以及完整性校驗等功能避免駭客動態注入攻擊App甚至破解出竄改包,才能確保App能完整的被保護。針對業主在意的相容性議題,果核下了大功夫,不僅自建相容性測試,也齊備了百餘支不同廠牌Android手機,可提供最嚴謹周全的測試服務。

Eric Lien接著表示,面對有意啟用appGuard服務的保險業者,果核專家團隊皆與其進行前置訪談,分析對方提供的APK,了解App是以何種工具開發而成,再據此制定保護策略,接著進行相容性測試,過程中一旦發現任何不相容情況,就立即調整保護策略,直到百餘款手機全數測試通過為止。大多數情況下,上述前置作業為期3~5天,若遇到較特殊狀況,比方說對方要求不走雲端服務模式,而在自家環境建立私有防護機制(避免APK外流),便會延長前置作業期,但久也不致超過20天。

完成前置步驟後,果核便正式交付帳號,讓業主可藉此登入appGuard網站,再經過上傳APK檔案、下載保護後的APK檔案、為APK檔案進行簽章等程序,短短30分鐘內,即可在公開的軟體市集(例如Google Play)上,正式發佈受安全保護的App。

值得一提的,果核著眼於App安全服務的完整佈局,亦自建相關檢測系統,設有37個檢測項目,其中檢測項目有參酌OWASP Mobile Top 10 Risks與部分工業局「行動應用App基本資安自主檢測推動制度」採行的規範定義而成,著重在找出App的資安結構問題。但設立檢測系統的用意,並非取代現有實驗室機制,而意在提供專業顧問功能,協助用戶發掘APK所處環境的潛在資安問題,並提供分析報告,以利開發者自行修正問題,假使出現有些基於平臺面的複雜難題,譬如容易遭到反組譯,再考慮透過appGuard加以解決。

若大家有興趣獲取論壇資訊,可加入果核粉絲團: QRCODE

https://www.facebook.com/%E6%9E%9C%E6%A0%B8%E6%95%B8%E4%BD%8D-724591257628290/?ref=bookmarks

 [DY1]壽險業辦理資訊安全防護自律規範

第九條

各會員公司若有開發並提供行動裝置應用程式給消費者或員工使用者,應依據壽險業提供行動裝置應用程式作業原則如附件二建立行動App資訊安全控管機制,以強化行動裝置應用之安全。


Advertisement

更多 iThome相關內容