藉由自动化检测系统 协助消弭App安全漏洞
清华大学信息工程学系教授孙宏民表示,因有利可图,近年愈来愈多黑客瞄准移动网银、移动支付或虚拟货币交易所展开攻击,犹如一群具专业知识的高端银行抢匪。
深究黑客之所以屡屡得手,症结在于App存在漏洞所致。例如2010年,韩国农协银行网银App遭骇事件,起因于歹徒透过第三方程序网站提供恶意更新程序供人下载,而此程序系利用Android的Master Key漏洞,在App内插入恶意档案,成功将之「木马化」。
孙宏民指出,综观黑客惯用的攻击模式,多是经由反组译、分析程序码、插入恶意码、重新打包等4个步骤,从而导致用户个资外泄,甚至造成严重的财产损失。惟要想防制这般攻击十分不易,只因一般中小企业无力购置昂贵的源码检测工具,加上人工检测耗时费工,若无安全漏洞数据库做为样本,检测的准确率不无问题。
此时企业亟需引用成本合理、准确度高的App漏洞检测服务。着眼于此,由孙宏民带领的网安实验室,几年前开发「移动设备App安全漏洞的高效率智能侦测系统」,透过逆向工程来确认漏洞,一天可检测多达1万支App的安全漏洞,除界定App安全等级外,并能提供漏洞修补建议。