做好防范与管理 避免移动设备成为网安隐忧

亚洲大学信息工程学系副教授陈兴忠。

伴随移动设备普及率节节高涨，不啻是为黑客提供一个难得的犯罪温床，因此肇因于移动终端装置所衍生的安全事件，可谓层出不穷，甚至连平日鲜少着墨IT信息报导的BBC News，都开始高度关注相关安全威胁。

亚洲大学信息工程学系副教授陈兴忠指出，论及移动终端装置安全威胁的演进历程，实与早期个人电脑遭受攻击的样态颇为一致。回顾个人电脑方面的安全威胁史，最早始于1986年的蠕虫，接着陆续有1989年开始的勒索软件、1992年开始的垃圾广告、1999年开始的电脑系统root存取权限遭受控制、2000年黑客开始窃取机密数据，直到2002年开始黑客利用TIBS Dialer用来窜改拨号；事实上，过往发生在桌机环境的种种攻击事件，如今都一一在移动终端装置重演。

「总结来说，移动终端装置恶意程序大致分为六类，」陈兴忠说，包括了「后门程序」：让未授权的使用者可存取该设备内的数据；「后门程序」：使用SMS进行付费、购买或滥用等恶意行为；「窃取数据」：偷取数据或蒐集帐号口令；「恶意程序」：下载或执行恶意程序；「Line实时通讯」：使用Line信息植入木马程序；「社群攻击」：假活动网页诈骗。

Android移动设备  潜藏十大威胁

以Android移动设备为例，探究其十大威胁，可区分为服务器端威胁、用户端威胁等两大类。前项包括伺服端缺乏完善的控管、传输层无足够的防护、加密演算法不严谨或被破解、不当的连线会话管理，及应用程序缺乏二进位防护；至于用户端威胁，则涵盖了存储的数据安全防护、快取或暂存数据被窃取、不严谨的授权机制与身份认证、用户端注入攻击变造，以及针对不受信任的输入之不当网安处置。

几个常见的攻击情境是，黑客利用「热点蜜糖罐」拦截使用者的网络通讯，将使用者的网络通讯一览无遗；电脑罪犯留下内含恶意程序的U盘，让不知情而好奇的使用者插入自己装置，攻击者即可借此窃取装置内的敏感信息；此外黑客会用网络扫描，找到容易入侵的装置，好让他们有机会接管整个系统。

陈兴忠建议，针对前述以热点蜜糖罐为诱饵的中间人攻击，企业务须使用安全的网段，并搭配采用例如HTTPS、SSH或SFTP等等加密连线。

当然，从2014年震惊各界的Heartbleed(心脏淌血)事件，亦让世人惊觉到，原来Open SSL加密软件也存在莫大漏洞，甚至酿成网络史上最严重的程序漏洞，企业亦需对此多加防范，务必撤销网站旧的凭证，确认常用网站是否被Heartbleed波及，确认使用版本是否落在受害范围内(譬如OpenSSL 0.9.8版、OpenSSL 1.0.0版皆属安全)。

此外，针对服务器端威胁，企业尚有亟需留意的事项，包括了App会允许任何来源管道所提供的数据，服务器与用户端的连线会话管理不够严谨，使用不安全的机制建立认证权杖，Cookie数据遭窃取造成帐号口令与机密数据外泄，再加上甫于2014年新增的风险－「应用程序缺乏二进位防护」(可被黑客用以寻找弱点、置入恶意功能、破坏程序验证机制或植入后门程序等)，皆有必要尽速研拟因应之道。

不忘执行加密  范围需涵盖单一档案与SD卡

针对用户端威胁，首要之务，即是解决数据存储缺乏安全防护的弊病。陈兴忠指出，将个资存储于SD卡，是相当危险之事，只因SD卡一旦从装置取出即毫无防备，因此呼吁使用者必须就重要档案执行加密动作，且加密范畴需同时涵盖单一档案、整张SD卡。

另外，多数使用者皆偏好采用快取处理，只因它相当好用，殊不知也相当危险，使用者往往忽略掉执行程序后的快取档也是重要数据，但对此并无完善安全机制，不妨考虑藉由第三方程序来做删除动作；再者，快取档案中也可能挟带恶意程序，如同「偷渡式快取下毒」，使用者必须提高警觉。

论及不严谨的授权机制与身份验证议题，最令多数人头疼的，无疑就是钓鱼网站，如何预防被钓鱼？陈兴忠认为，首先浏览网页时需确认URL是否正确，其次收取信件时宜小心求证，例如遇到要求缴费或勒索威胁的信息，可到相关单位查证，另可检查邮件内是否有拼写错误或语法错误的迹象。

而在用户端注入攻击变造方面，最常见的两种攻击型态，一是「隐码攻击(SQL Injection)」，意即输入的字串中挟带SQL指令，可在应用程序中使用字串联结方式组合SQL指令，在应用程序连结数据库时使用权限过大的帐户，在数据库中开放权力过大的功能，又或者未对使用者输入的数据做潜在指令的检查；另一是「目标走访攻击(Directory Traversal)」，系锁定目标的蓄意攻击，通常在开发过程中即已被埋下漏洞，且经常伴随着其他攻击方式。

如何解除上述危机？陈兴忠表示，开发者必须针对用户端输入的数据，进行完整的检测。以防御SQL Injection攻击为例，存取数据库时明确定义数据库的使用权限，采用参数化查询语法，加强对用户输入数据的查核与验证，使用SQL Server数据库内建的安全参数，使用弱点扫描工具寻找系统漏洞。