藉由資安檢測消弭App漏洞 避免駭客乘隙作亂
一個發生在2016年的慘痛案例。俄羅斯駭客以偽裝銀行、情色或電子商務等App的方式,夾帶Cron木馬程式,感染逾百萬台Android行動裝置,利用幾家金融公司提供的小額轉帳服務漏洞(允許用戶以簡訊執行轉帳),神不知鬼不覺將用戶的錢轉到駭客的帳戶,共計盜取約新台幣2,700萬元。
綜觀前例,著實令人心驚膽戰,尤其隨著行動支付日趨普及,使用網銀App的人數持續攀升,倘若肇因App安全漏洞遭致駭客有機可乘,以「山寨版」App誘使不知情使用者下載,無論發生個資外洩或財產損失等結果,對於受害者、服務提供者乃至整個社會,無疑都是不可承受之重。
為此經濟部工業局於2014年制訂「行動應用App基本資安規範」,接著以此為基礎訂定「行動應用App基本資安檢測基準」及「行動應用App基本資安自主檢測推動制度」,意在為App使用環境把關,引領App開發業者孕育優質App,維護使用者的權益。身兼國立清華大學資訊工程系教授、資訊系統與應用研究所所長、資通訊安全研究中心主任等職的孫宏民,也參與上述規範的制訂與編修過程,他指出台灣實施App資安檢測制度迄今,已邁入第4個年頭,起步之早,在國際上處於相對領先。
孫宏民說,環顧前述三項文件,以「行動應用App基本資安檢測基準」最為重要,自2015年推出V1.0版本至今,歷經多次改版,預期不久後將進入V3.0版階段。之所以數次編修,在於該基準首次訂定的當時,尚無國際標準可供參酌,後續伴隨OWASP、NIST、ENISA、CSA先後提出相關檢測基準,讓台灣有機會見賢思齊、截長補短,把檢測基準調整得更加完善。
善用自動化檢測系統,化解潛在資安問題
以V3.0而論,相對於前一版本的最大突破,即是將行動應用程式分類、檢測基準安全分級予以合併,得以消弭低級高測、或高級低測等現象。在上一版本中,行動App被分為三大類,包括第一類「純功能性」、第二類「具認證功能與連網行為」,及第三類「具交易功能」,至於檢測分級則有初、中、高等三個位階;以往曾有適合接受高級檢測的第三類App,刻意挑戰初級檢測,繼而憑藉相關檢測報告宣稱其安全性,另有不需接受高級檢測的第一類App,竟越級參與高級檢測,意圖塑造高人一等的安全形象,其實兩例皆無太多實質意義,反倒有誤導民眾之虞。
在孫宏民與其資安專業團隊主導修正下,將App分類調整為甲類(無需身份鑑別)、乙類(需身份鑑別)、丙類(有交易行為)等三類,各類都有對應的檢測項目,清清楚楚,不再有降級或越級送測的彈性空間。
值得一提的,由孫宏民清大資訊安全實驗室,於4年前開發出當時全球首套自動化App安全漏洞檢測系統「MalDroid」,開發者僅需提交Android APK、不需原始碼,平均5~15秒,便可藉由該系統確認漏洞,並產生檢測報告,揭示程式碼安全漏洞、App安全等級,更難能可貴還提供漏洞修補建議、相關案例說明,讓開發者知道應該如何調整修正;而MalDroid一天可分析10,000支App,產能相當驚人,孫宏民透露,其實驗室過去曾運用此一系統,多次發現知名公司App的潛在漏洞,促使這些公司著手修正弱點、解決資安問題,對全球行動應用安全的升級,算是挹注一定貢獻。
[ 清大資工系孫宏民教授,將於7/19舉辦的2018雲端資安論壇發表「行動應用安全漏洞自動化檢測系統」,活動完全免費,欲進一步掌握最新App安全漏洞如何修補防禦,歡迎MIS、資料庫、營運E化、稽核與法遵等資訊人員報名參加!]