APP检测
18.Aug.2020
移动应用程序蓬勃发展 你使用的APP真的安全吗?
随着科技及网络传输的发展,移动装置应用日渐普及,许多移动APP应运而生,从而为人们带来极高度的便利性,食衣住行育乐都能通过移动APP达成。移动APP俨然已成为人们生活中不可或缺的部分,但同时也成为有心人士窃取数据的管道之一。相信大家在手机上下载安装了APP并准备使用时,普遍都会遇到弹框提示授权手机的权限,比如授权读取通讯录、拨打电话、使用麦克风及GPS定位等,然而大部分的用户都容易忽视移动APP所请求的权限的相关性,让恶意APP取得不必要的系统权限,从而导致大量重要信息泄漏。先前就曾有一款恶意的美颜相机移动APP,要求取得用户手机存取短信的权限,并藉此获取发送至用户手机的短信验证码,进而激活付费机制窃取用户的金钱。除了上述移动APP要求不必要的系统权限外,移动APP还有其他常见的安全漏洞,都会造成用户数据外泄,以下将针对常见的移动APP漏洞进行说明。
根据《开放网络软件安全计划》(Open Web Application Security Project,OWASP) 发表的常见移动装置风险报告指出,绝大多数的移动APP存在多余的功能模块、不安全的数据储存及不安全的传输等安全问题,这些风险虽然不会有实时性的危害,但如今黑客的技术手法诡谲多变,一旦黑客找到移动APP中实际未使用的模块并加以利用,这不仅会造成数据外泄,抑或数据遭到恶意窜改,更甚者还可能直接对企业内部系统造成不良的连锁反应。举例来说,“USB调试(USB Debugging)”是通过USB连接与Android SDK (Software Development Kit)进行通讯的一种方式,它允许用户通过个人计算机控制Android设备与进行文件传输等,并且能够取得系统与移动APP的运作信息,例如日志数据与配置文件等。过去也曾有恶意软件通过USB感染Android装置,“USB调试”可以说是双面刃,通过“USB调试”取得系统信息的同时,也能让移动装置轻易地被控制,因此建议平常关闭该功能。
根据《开放网络软件安全计划》(Open Web Application Security Project,OWASP) 发表的常见移动装置风险报告指出,绝大多数的移动APP存在多余的功能模块、不安全的数据储存及不安全的传输等安全问题,这些风险虽然不会有实时性的危害,但如今黑客的技术手法诡谲多变,一旦黑客找到移动APP中实际未使用的模块并加以利用,这不仅会造成数据外泄,抑或数据遭到恶意窜改,更甚者还可能直接对企业内部系统造成不良的连锁反应。举例来说,“USB调试(USB Debugging)”是通过USB连接与Android SDK (Software Development Kit)进行通讯的一种方式,它允许用户通过个人计算机控制Android设备与进行文件传输等,并且能够取得系统与移动APP的运作信息,例如日志数据与配置文件等。过去也曾有恶意软件通过USB感染Android装置,“USB调试”可以说是双面刃,通过“USB调试”取得系统信息的同时,也能让移动装置轻易地被控制,因此建议平常关闭该功能。
USB调试模式
敏感数据的存储或传输需进行加密
经过分析过去所累积的移动APP检测结果,开发者最容易疏忽的就是以明文形式储存敏感数据。根据工业局的移动APP检测标准,对于移动APP储存在移动装置上的内容,包括配置文件、数据库文件、暂存盘及日志文件等敏感数据,皆不得以明文形式储存,须经过加密处理,以达到保护个人隐私的目的。因此,若移动APP在敏感数据的储存或传输过程中未进行加密,或直接以明文形式存放在不安全的储存位置,可能会遭受其他任意且未经授权的移动APP进行存取,以致造成个人隐私的泄露。
以明文的形式储存敏感数据
未正确检查凭证可使重要数据外泄
绝大多数的移动APP都需通过网络联机与服务器进行通讯,若用户疏于联机过程中的网络信息安全防护,未检查移动APP是否联机至正确的服务器,这时,攻击者便可利用中间人攻击(Man-in-the-Middle Attack,MITM)方式窜改信息、窃取数据及植入恶意软件。因此,开发人员必须在开发过程中注意检查凭证的正确性,若发现凭证过期或签发单位信息不正确,必须立刻中断联机,避免重要数据外泄。以下图为例,当移动APP未经过检查联机安全性时,攻击者即可从中窃取用户登录账号与密码。
中间人攻击示意图:可拦截用户敏感信息
移动APP网络信息安全解决方案
针对企业所面临的移动APP网络信息安全问题,仲至信息科技旗下国际高端网络安全实验室具备移动应用APP网络安全的权威认证,从2016年至今,该实验室所检测过的APP项目已经超过500个,合作客户群体涵盖了政府、金融、电信、高科技、物联网、航空及在线购物。此外,仲至信息科技能够依循国际移动APP指引“OWASP Mobile Security Testing Guide”提供检测服务,同时还搭配源代码扫描、漏洞扫描、渗透测试、网络安全顾问及教育培训等专业网络信息安全服务,致力为厂商提供从架构强化、网络安全检测到VIP顾问的一站式APP安全开发服务,协助厂商全面提升云端服务与移动APP安全性。
参考资料:
[1] TREND MICRO Security Intelligence Blog, < Fake Photo Beautification APPs on Google Play can Read SMS Verification Code to Trigger Wireless Application Protocol (WAP)/Carrier Billing>, 2019.10.
网址:https://blog.trendmicro.com/trendlabs-security-intelligence/fake-photo-beautification-APPs-on-google-play-can-read-sms-verification-code-to-trigger-wireless-APPlication-protocol-wap-carrier-billing/
[2] iThome,《遗留无用功能或档案而疏于防护》,2019.04。
网址:https://www.ithome.com.tw/news/130259.
[3] 商业周刊,《导入APP资安检测》,2019.07。阅于2020.06.29。
网址:https://www.businessweekly.com.tw/focus/indep/38870.
[4] 经济部工业局,《移动应用APP安全开发指引v1.2》,2019.06。
[5] OWASP,“OWASP Mobile Top 10 2016”,2016.03。
网址:https://owasp.org/www-project-mobile-top-10
