藉由自動化檢測系統 協助消弭App安全漏洞 智慧應用 影音
MongoDB
ADI

藉由自動化檢測系統 協助消弭App安全漏洞

  • 台北訊

清華大學資訊工程學系教授孫宏民。
清華大學資訊工程學系教授孫宏民。

清華大學資訊工程學系教授孫宏民表示,因有利可圖,近年愈來愈多駭客瞄準行動網銀、行動支付或虛擬貨幣交易所展開攻擊,猶如一群具專業知識的高端銀行搶匪。

深究駭客之所以屢屢得手,癥結在於App存在漏洞所致。例如2010年,韓國農協銀行網銀App遭駭事件,起因於歹徒透過第三方程式網站提供惡意更新程式供人下載,而此程式係利用Android的Master Key漏洞,在App內插入惡意檔案,成功將之「木馬化」。

孫宏民指出,綜觀駭客慣用的攻擊模式,多是經由反組譯、分析程式碼、插入惡意碼、重新打包等4個步驟,從而導致用戶個資外洩,甚至造成嚴重的財產損失。惟要想防制這般攻擊十分不易,只因一般中小企業無力購置昂貴的源碼檢測工具,加上人工檢測耗時費工,若無安全漏洞資料庫做為樣本,檢測的準確率不無問題。

此時企業亟需引用成本合理、準確度高的App漏洞檢測服務。著眼於此,由孫宏民帶領的資安實驗室,幾年前開發「行動裝置App安全漏洞的高效率智慧偵測系統」,透過逆向工程來確認漏洞,一天可檢測多達1萬支App的安全漏洞,除界定App安全等級外,並能提供漏洞修補建議。