藉由网安检测消弭App漏洞 避免黑客乘隙作乱
一个发生在2016年的惨痛案例。俄罗斯黑客以伪装银行、情色或电子商务等App的方式,夹带Cron木马程序,感染逾百万台Android移动设备,利用几家金融公司提供的小额转帐服务漏洞(允许用户以简讯执行转帐),神不知鬼不觉将用户的钱转到黑客的帐户,共计盗取约新台币2,700万元。
综观前例,着实令人心惊胆战,尤其随着移动支付日趋普及,使用网银App的人数持续攀升,倘若肇因App安全漏洞遭致黑客有机可乘,以「山寨版」App诱使不知情使用者下载,无论发生个资外泄或财产损失等结果,对于受害者、服务提供者乃至整个社会,无疑都是不可承受之重。
为此经济部工业局于2014年制订「移动应用App基本网安规范」,接着以此为基础订定「移动应用App基本网安检测基准」及「移动应用App基本网安自主检测推动制度」,意在为App使用环境把关,引领App开发业者孕育优质App,维护使用者的权益。身兼国立清华大学信息工程系教授、信息系统与应用研究所所长、资通讯安全研究中心主任等职的孙宏民,也参与上述规范的制订与编修过程,他指出台湾实施App网安检测制度迄今,已迈入第4个年头,起步之早,在国际上处于相对领先。
孙宏民说,环顾前述三项文件,以「移动应用App基本网安检测基准」最为重要,自2015年推出V1.0版本至今,历经多次改版,预期不久后将进入V3.0版阶段。之所以数次编修,在于该基准首次订定的当时,尚无国际标准可供参酌,后续伴随OWASP、NIST、ENISA、CSA先后提出相关检测基准,让台湾有机会见贤思齐、截长补短,把检测基准调整得更加完善。
善用自动化检测系统,化解潜在网安问题
以V3.0而论,相对于前一版本的最大突破,即是将移动应用程序分类、检测基准安全分级予以合并,得以消弭低级高测、或高级低测等现象。在上一版本中,移动App被分为三大类,包括第一类「纯功能性」、第二类「具认证功能与联网行为」,及第三类「具交易功能」,至于检测分级则有初、中、高等三个位阶;以往曾有适合接受高级检测的第三类App,刻意挑战初级检测,继而凭藉相关检测报告宣称其安全性,另有不需接受高级检测的第一类App,竟越级参与高级检测,意图塑造高人一等的安全角象,其实两例皆无太多实质意义,反倒有误导民众之虞。
在孙宏民与其网安专业团队主导修正下,将App分类调整为甲类(无需身份监别)、乙类(需身份监别)、丙类(有交易行为)等三类,各类都有对应的检测项目,清清楚楚,不再有降级或越级送测的弹性空间。
值得一提的,由孙宏民清大信息安全实验室,于4年前开发出当时全球首套自动化App安全漏洞检测系统「MalDroid」,开发者仅需提交Android APK、不需原始码,平均5~15秒,便可藉由该系统确认漏洞,并产生检测报告,揭示程序码安全漏洞、App安全等级,更难能可贵还提供漏洞修补建议、相关案例说明,让开发者知道应该如何调整修正;而MalDroid一天可分析10,000支App,产能相当惊人,孙宏民透露,其实验室过去曾运用此一系统,多次发现知名公司App的潜在漏洞,促使这些公司着手修正弱点、解决网安问题,对全球移动应用安全的升级,算是挹注一定贡献。
[ 清大资工系孙宏民教授,将于7/19举办的2018云端网安论坛发表「移动应用安全漏洞自动化检测系统」,活动完全免费,欲进一步掌握最新App安全漏洞如何修补防御,欢迎MIS、数据库、营运E化、稽核与法遵等信息人员报名参加!]