藉由网安检测消弭App漏洞 避免黑客乘隙作乱

2018/07/10 - 洪千惠

一个发生在2016年的惨痛案例。俄罗斯黑客以伪装银行、情色或电子商务等App的方式，夹带Cron木马程序，感染逾百万台Android移动设备，利用几家金融公司提供的小额转帐服务漏洞(允许用户以简讯执行转帐)，神不知鬼不觉将用户的钱转到黑客的帐户，共计盗取约新台币2,700万元。

综观前例，着实令人心惊胆战，尤其随着移动支付日趋普及，使用网银App的人数持续攀升，倘若肇因App安全漏洞遭致黑客有机可乘，以「山寨版」App诱使不知情使用者下载，无论发生个资外泄或财产损失等结果，对于受害者、服务提供者乃至整个社会，无疑都是不可承受之重。

为此经济部工业局于2014年制订「移动应用App基本网安规范」，接着以此为基础订定「移动应用App基本网安检测基准」及「移动应用App基本网安自主检测推动制度」，意在为App使用环境把关，引领App开发业者孕育优质App，维护使用者的权益。身兼国立清华大学信息工程系教授、信息系统与应用研究所所长、资通讯安全研究中心主任等职的孙宏民，也参与上述规范的制订与编修过程，他指出台湾实施App网安检测制度迄今，已迈入第4个年头，起步之早，在国际上处于相对领先。

孙宏民说，环顾前述三项文件，以「移动应用App基本网安检测基准」最为重要，自2015年推出V1.0版本至今，历经多次改版，预期不久后将进入V3.0版阶段。之所以数次编修，在于该基准首次订定的当时，尚无国际标准可供参酌，后续伴随OWASP、NIST、ENISA、CSA先后提出相关检测基准，让台湾有机会见贤思齐、截长补短，把检测基准调整得更加完善。

善用自动化检测系统，化解潜在网安问题

以V3.0而论，相对于前一版本的最大突破，即是将移动应用程序分类、检测基准安全分级予以合并，得以消弭低级高测、或高级低测等现象。在上一版本中，移动App被分为三大类，包括第一类「纯功能性」、第二类「具认证功能与联网行为」，及第三类「具交易功能」，至于检测分级则有初、中、高等三个位阶；以往曾有适合接受高级检测的第三类App，刻意挑战初级检测，继而凭藉相关检测报告宣称其安全性，另有不需接受高级检测的第一类App，竟越级参与高级检测，意图塑造高人一等的安全角象，其实两例皆无太多实质意义，反倒有误导民众之虞。

在孙宏民与其网安专业团队主导修正下，将App分类调整为甲类(无需身份监别)、乙类(需身份监别)、丙类(有交易行为)等三类，各类都有对应的检测项目，清清楚楚，不再有降级或越级送测的弹性空间。

值得一提的，由孙宏民清大信息安全实验室，于4年前开发出当时全球首套自动化App安全漏洞检测系统「MalDroid」，开发者仅需提交Android APK、不需原始码，平均5~15秒，便可藉由该系统确认漏洞，并产生检测报告，揭示程序码安全漏洞、App安全等级，更难能可贵还提供漏洞修补建议、相关案例说明，让开发者知道应该如何调整修正；而MalDroid一天可分析10,000支App，产能相当惊人，孙宏民透露，其实验室过去曾运用此一系统，多次发现知名公司App的潜在漏洞，促使这些公司着手修正弱点、解决网安问题，对全球移动应用安全的升级，算是挹注一定贡献。

[ 清大资工系孙宏民教授，将于7/19举办的2018云端网安论坛发表「移动应用安全漏洞自动化检测系统」，活动完全免费，欲进一步掌握最新App安全漏洞如何修补防御，欢迎MIS、数据库、营运E化、稽核与法遵等信息人员报名参加！]


图说：清华大学信息工程学系教授孙宏民表示，App安全漏洞易导致用户个资外泄，更有甚者，黑客可破解支付类App，置换支付连结并诱导使用者付费，或直接窃取App帐号口令而盗取资金，酿成财务损失，不可不慎。