果核數位力推appGuard，助保險業牢牢守護App安全

據統計2017年全球App下載量達1,750億次，消費者平均每天花費近3小時使用App，顯見App與人類生活緊密結合，滲入購物、影音、遊戲、社群、金融理財等等眾多面向；伴隨指尖經濟發燒，駭客染指App的頻率不斷激增，尤其涉及個資與財務利益的金融App，更成為首要覬覦對象。

有鑑於此，金管會要求銀行須針對App進行全面安全檢測，預估最快到明年(2019)，保險業亦可能被納入規範；以壽險業為例，除應遵循壽險公會訂定之「壽險[DY1] 業辦理資訊安全防護自律規範」第9條，依據壽險業提供行動裝置應用程式作業原則，建立行動App資訊安全控管機制，以強化行動裝置應用之安全外，亦須參照經濟部工業局公告之「行動應用App基本資安自主檢測推動制度」，每年將App送交認證實驗室接受檢測。

由此可見，App確實蘊藏莫大資安風險，舉凡遊戲、支付、電子商務、政府、銀行或保險業等等任何提供App服務的垂直領域，皆應強化App保護。值此時刻，類似像果核數位appGuard的App安全防護服務，即可扮演及時雨，幫助業主以最快速度補強App資安罩門。

App功能日增，資安風險隨之提升

果核數位appGuard營運處資安顧問Eric Lien指出，綜觀現階段保險業App，多僅提供查詢功能，而業者為加快上架時程，在開發時並不特別講究資安；但展望今後，隨著線上投保、資費計算等等更多加值服務應運而生，業者若不導正以往做法，恐讓App用戶陷入更嚴重的個資外洩危機。

Eric Lien甚至認為，業者不宜僅追求在程式面上儘量符合規範，必須通盤考量程式開發的所有面向。舉例而言，Android屬於開放式架構，任何人只要下載Android App，都有機會透過反組譯了解程式架構，進而重新打包、偽冒，誘騙不知情的大眾加以使用；業者若只求合規，未必能妥善顧慮逆向工程防制需求。

果核數位客戶經理Ryan Lee歸納，總體來說，假設App資安做得不到位，使App遭到破解，造成偽冒App流入市集，輕則被分食流量與廣告費，重則導致使用者個資被竊取、洩漏或竄改，讓業者的商譽受創。難免有業者掉以輕心，自認其App僅具認證功能與連網行為，尚未涉及交易功能與客戶個人資料處理，面臨的風險或許不大，殊不知駭客仍可藉此了解程式碼撰寫方式、使用的函式庫，甚至竊取憑證，進而利用App輕鬆攻陷後臺伺服器，釀成慘重災情，不可不慎。

而果核appGuard是App的資安防護服務，可藉由防止逆向工程，程式碼加密、讓Debugger工具失效以及完整性校驗等功能，持續確保App安全強度，有效防止破解、原始碼失竊，避免個資外洩。Eric Lien強調，appGuard有幾大優勢，除了安全強度極高可以有效防止駭客攻擊外，最大優勢在於「不需修改原始碼」，只要保險公司提供APK(Android Application Package)，不論背後開發架構為何，果核都能量身打造最適合的保護策略。

不改程式碼，30分鐘內啟動App防護

他進一步解釋，同業普遍採用SDK方式，將保護元件置入原始碼，意謂業主必須對外提供原始碼，會有智慧財產洩露疑慮，且隨著原始碼被改動，也可能導致App功能出現相容性問題。對此Ryan Lee補充說，將保護元件擺放至原始碼，通常是一段段的作業，並非一蹴可幾，起碼耗時3個月以上，但只要任何一段作業失誤，都可能因反覆修正而延宕時程，所以亟需倚賴具經驗與功力的架構師。除此之外，同業SDK透過Java層的防護機制進行App保護，可是對駭客來說，Java層級的防護機制和程式碼混淆，只能延緩破解的時間，駭客可輕易透過逆向工程反編譯出程式碼，只要駭客了解保護機制的邏輯之後，例如:偵測root的機制、憑證校驗等機制，透過逆向工程修改，就可以順利破解出竄改包或者繞過防護機制進行惡意攻擊。因此，appGuard藉由防止逆向工程，程式碼加密，防止駭客反編譯出原始碼；讓Debugger工具失效以及完整性校驗等功能避免駭客動態注入攻擊App甚至破解出竄改包，才能確保App能完整的被保護。針對業主在意的相容性議題，果核下了大功夫，不僅自建相容性測試，也齊備了百餘支不同廠牌Android手機，可提供最嚴謹周全的測試服務。

Eric Lien接著表示，面對有意啟用appGuard服務的保險業者，果核專家團隊皆與其進行前置訪談，分析對方提供的APK，了解App是以何種工具開發而成，再據此制定保護策略，接著進行相容性測試，過程中一旦發現任何不相容情況，就立即調整保護策略，直到百餘款手機全數測試通過為止。大多數情況下，上述前置作業為期3~5天，若遇到較特殊狀況，比方說對方要求不走雲端服務模式，而在自家環境建立私有防護機制(避免APK外流)，便會延長前置作業期，但久也不致超過20天。

完成前置步驟後，果核便正式交付帳號，讓業主可藉此登入appGuard網站，再經過上傳APK檔案、下載保護後的APK檔案、為APK檔案進行簽章等程序，短短30分鐘內，即可在公開的軟體市集(例如Google Play)上，正式發佈受安全保護的App。

值得一提的，果核著眼於App安全服務的完整佈局，亦自建相關檢測系統，設有37個檢測項目，其中檢測項目有參酌OWASP Mobile Top 10 Risks與部分工業局「行動應用App基本資安自主檢測推動制度」採行的規範定義而成，著重在找出App的資安結構問題。但設立檢測系統的用意，並非取代現有實驗室機制，而意在提供專業顧問功能，協助用戶發掘APK所處環境的潛在資安問題，並提供分析報告，以利開發者自行修正問題，假使出現有些基於平臺面的複雜難題，譬如容易遭到反組譯，再考慮透過appGuard加以解決。

若大家有興趣獲取論壇資訊，可加入果核粉絲團: QRCODE

https://www.facebook.com/%E6%9E%9C%E6%A0%B8%E6%95%B8%E4%BD%8D-724591257628290/?ref=bookmarks