在去年 (2019) ,果核數位將負責營運appGuard  (為一套 App 防護服務) 的部門獨立,成立新加坡商HyperG Smart Security 核智安全科技公司,專注於研發智慧科技的安全產品,致力成為世界一流的智慧安全服務公司及銷售平台。時至今年,HyperG 繼 appGuard 後再接再厲推出 Smart Sensing,為一全方位動態偵測、防禦及感知系統,可透過即時監控、分析和回應,強力捍衛 App 安全。

HyperG 資安顧問謝易致表示,早年安全開發觀念還未成形,多數 App 開發者不清楚如何開發安全的 App,僅將研發重點擺在 App 效能、功能、穩定性或可用度,導致若干 App 存在漏洞,讓駭客有機會利用網路跟蹤、網路釣魚等手段竊得 App 使用者個資,接著一步步探索他的背景、工作單位、薪資水平等資訊,最後發動盜刷、勒索等犯罪行為,造成使用者的損失。

不少 App 發行公司後來意識到這個風險,開始引進 App 保護工具,期望為 App「上鎖」,阻止有人做 Root、越獄、Hook、注入攻擊等破壞行為。儘管這些工具利用許多探針、執行豐富的檢測,但屬於「靜態保護」,意在讓用戶從檢測結果了解自身缺失,進而修正錯誤、做好保護措施,再放心把添加多道鎖的 App 推向市場。殊不知當 App 上市後,駭客總是能想方設法突破封鎖,如願以償竊取使用者個資、插入外掛,甚至釀成 App Crash;這一段的保護,始終是缺乏的。

Smart Sensing 之所以誕生,最大目的便是使靜態保護變成動態保護(偵測+防禦)。表面看來 Smart Sensing 與傳統工具支援的檢測項目,並無太大差別,同樣包含 Root/越獄、框架套件、風險進程、敏感配置等等內容,唯一不同在於它提供了即時監控系統,也就是能把偵測到的內容,立即傳遞到後台數據管理中心,再利用 AI 執行邏輯比對,據以判斷究竟有無惡意程式或外掛,如果有,就詳細分析其特徵,好讓 App 發行公司或開發者快速防禦或回應(不修改原始碼狀況下),並藉由預防來降低未來威脅風險。

提供多項分析,助用戶釐清 App 資安和營運現況

謝易致說,Smart Sensing 支援兩種部署模式,一是建置在果核公有雲,由雲的後台自動收集與記錄訊息、再輔以 AI 執行分析判斷,掌握整個攻擊循環及外掛特徵;另一是自建私有雲方案,把 Smart Sensing 伺服器佈建在用戶自家環境,既不怕資料外流、也享有相同功能。

談及 Smart Sensing 主要功能,首先正是安全自動分析,針對使用者流量進行監控與統計,進而提供一段區間內 App 所受到的攻擊次數統計報告,舉凡設備重用、模擬器、注入攻擊、調試行為、系統加速、程式外掛乃至位置詐欺等威脅事件通通難逃法眼。

謝易致接著指出,第二項及第三功能分別為營運資料分析、閃退訊息分析,主要是因為,App 業主十分關心究竟多少人使用他的 App、多數人在什麼時候啟用、每次使用了多久,及有無出現閃退異狀,因此 Smart Sensing 貼心提供相關資訊,便於用戶掌握一定區間內使用者登入使用狀況、設備總覽及最愛安裝的 App 統計結果,至於閃退,則可根據事件相關的設備類型、地區、系統版本、App 版本與閃退時間,幫助開發者迅速還原閃退當下的環境狀況。

第四項是 SDK 檢測。眾所皆知現今許多開發者為了加快生產速度,都習慣引用第三方套件或 SDK,以滿足特定功能需求,比方說登錄模組、連線模組等等;殊不知這些 SDK 也許不夠安全,會在使用者不知情的前提下、逕自收集並外傳使用者行為資訊;Smart Sensing 可幫助用戶做出適當策略配置,確保 SDK 權限獲得監測,一旦出現越權撈取資料之情事,就能立即攔阻。

第五項是阻止非授權行為,運作原理與 SDK 權限監測有些類似,旨在防止某些惡意程式或外掛擅自引導 App 使用者進入第三方 App(例如網銀登錄頁面) ,避免駭客俟機竊取使用者的帳號和密碼資訊。

結合 appGuard 與 Smart Sensing,建構完整防護架構

謝易致歸納,不安全的 App 將產生三種受災戶,首當其衝就是 App 發行公司,譬如遊戲業者,假使其 App 被插入外掛,駭客就有機會竊取金錢或其他有價值寶物,導致業者的營收減損。

第二類受災戶就是使用 App 的一般群眾,當駭客拿到這群人的個資,也掌握了信用卡號等機敏資訊,便可在持卡人不知情下屢屢進行「小額盜刷」,導致使用者莫名遭受財務損失。第三類受災戶也是 App 使用者,但屬於較具經濟實力、或社會地位較高的人士,駭客會透過勒索或敲詐等手段,逼使他們一次付出更大代價。

總而言之,帶有資安風險的 App,恐造成莫大的災損範圍,不只終端使用者受害,發行公司本身也難逃損失;顯見發行公司不應掉以輕心,趕緊強化 App 資安防禦架構才是正解。

謝易致強調,所謂術業有專攻,Smart Sensing 比較像是一套 App 風險控系統,有點類似監控者角色,但談到如何防護 App 地基,並不在它的能力範疇,而在於擅長為 App 實施加殼、混淆等保護措施的 appGuard;因此他呼籲企業可整合運用 appGuard 與 Smart Sensing,藉由兩者環環相扣,形成最完整嚴密的 App 防禦機制。

加入粉絲團獲取更多資安/活動資訊

HyperG Smart Security 核智安全科技公司 資安顧問謝易致


熱門新聞

Advertisement