做好防範與管理 避免行動裝置成為資安隱憂

亞洲大學資訊工程學系副教授陳興忠。

伴隨行動裝置普及率節節高漲，不啻是為駭客提供一個難得的犯罪溫床，因此肇因於行動終端裝置所衍生的安全事件，可謂層出不窮，甚至連平日鮮少著墨IT訊息報導的BBC News，都開始高度關注相關安全威脅。

亞洲大學資訊工程學系副教授陳興忠指出，論及行動終端裝置安全威脅的演進歷程，實與早期個人電腦遭受攻擊的樣態頗為一致。回顧個人電腦方面的安全威脅史，最早始於1986年的蠕蟲，接著陸續有1989年開始的勒索軟體、1992年開始的垃圾廣告、1999年開始的電腦系統root存取權限遭受控制、2000年駭客開始竊取機密資料，直到2002年開始駭客利用TIBS Dialer用來竄改撥號；事實上，過往發生在桌機環境的種種攻擊事件，如今都一一在行動終端裝置重演。

「總結來說，行動終端裝置惡意程式大致分為六類，」陳興忠說，包括了「後門程式」：讓未授權的使用者可存取該設備內的資料；「後門程式」：使用SMS進行付費、購買或濫用等惡意行為；「竊取資料」：偷取資料或蒐集帳號密碼；「惡意程式」：下載或執行惡意程式；「Line即時通訊」：使用Line訊息植入木馬程式；「社群攻擊」：假活動網頁詐騙。

Android行動裝置  潛藏十大威脅

以Android行動裝置為例，探究其十大威脅，可區分為伺服器端威脅、用戶端威脅等兩大類。前項包括伺服端缺乏完善的控管、傳輸層無足夠的防護、加密演算法不嚴謹或被破解、不當的連線會話管理，及應用程式缺乏二進位防護；至於用戶端威脅，則涵蓋了儲存的資料安全防護、快取或暫存資料被竊取、不嚴謹的授權機制與身分認證、用戶端注入攻擊變造，以及針對不受信任的輸入之不當資安處置。

幾個常見的攻擊情境是，駭客利用「熱點蜜糖罐」攔截使用者的網路通訊，將使用者的網路通訊一覽無遺；電腦罪犯留下內含惡意程式的隨身碟，讓不知情而好奇的使用者插入自己裝置，攻擊者即可藉此竊取裝置內的敏感資訊；此外駭客會用網路掃描，找到容易入侵的裝置，好讓他們有機會接管整個系統。

陳興忠建議，針對前述以熱點蜜糖罐為誘餌的中間人攻擊，企業務須使用安全的網段，並搭配採用例如HTTPS、SSH或SFTP等等加密連線。

當然，從2014年震驚各界的Heartbleed(心臟淌血)事件，亦讓世人驚覺到，原來Open SSL加密軟體也存在莫大漏洞，甚至釀成網路史上最嚴重的程式漏洞，企業亦需對此多加防範，務必撤銷網站舊的憑證，確認常用網站是否被Heartbleed波及，確認使用版本是否落在受害範圍內(譬如OpenSSL 0.9.8版、OpenSSL 1.0.0版皆屬安全)。

此外，針對伺服器端威脅，企業尚有亟需留意的事項，包括了App會允許任何來源管道所提供的資料，伺服器與用戶端的連線會話管理不夠嚴謹，使用不安全的機制建立認證權杖，Cookie資料遭竊取造成帳號密碼與機密資料外洩，再加上甫於2014年新增的風險－「應用程式缺乏二進位防護」(可被駭客用以尋找弱點、置入惡意功能、破壞程式驗證機制或植入後門程式等)，皆有必要儘速研擬因應之道。

不忘執行加密  範圍需涵蓋單一檔案與SD卡

針對用戶端威脅，首要之務，即是解決資料儲存缺乏安全防護的弊病。陳興忠指出，將個資儲存於SD卡，是相當危險之事，只因SD卡一旦從裝置取出即毫無防備，因此呼籲使用者必須就重要檔案執行加密動作，且加密範疇需同時涵蓋單一檔案、整張SD卡。

另外，多數使用者皆偏好採用快取處理，只因它相當好用，殊不知也相當危險，使用者往往忽略掉執行程式後的快取檔也是重要資料，但對此並無完善安全機制，不妨考慮藉由第三方程式來做刪除動作；再者，快取檔案中也可能挾帶惡意程式，如同「偷渡式快取下毒」，使用者必須提高警覺。

論及不嚴謹的授權機制與身分驗證議題，最令多數人頭疼的，無疑就是釣魚網站，如何預防被釣魚？陳興忠認為，首先瀏覽網頁時需確認URL是否正確，其次收取信件時宜小心求證，例如遇到要求繳費或勒索威脅的訊息，可到相關單位查證，另可檢查郵件內是否有拼寫錯誤或語法錯誤的跡象。

而在用戶端注入攻擊變造方面，最常見的兩種攻擊型態，一是「隱碼攻擊(SQL Injection)」，意即輸入的字串中挾帶SQL指令，可在應用程式中使用字串聯結方式組合SQL指令，在應用程式連結資料庫時使用權限過大的帳戶，在資料庫中開放權力過大的功能，又或者未對使用者輸入的資料做潛在指令的檢查；另一是「目標走訪攻擊(Directory Traversal)」，係鎖定目標的蓄意攻擊，通常在開發過程中即已被埋下漏洞，且經常伴隨著其他攻擊方式。

如何解除上述危機？陳興忠表示，開發者必須針對用戶端輸入的資料，進行完整的檢測。以防禦SQL Injection攻擊為例，存取資料庫時明確定義資料庫的使用權限，採用參數化查詢語法，加強對用戶輸入資料的查核與驗證，使用SQL Server資料庫內建的安全參數，使用弱點掃描工具尋找系統漏洞。