行動裝置資安威脅及防護
- 發布單位:TWCERT/CC
- 更新日期:2023-02-02
- 點閱次數:1905
隨著行動裝置的逐漸普及,為使用者的生活帶來極大便利,卻也伴隨更多資安威脅與風險。越來越多駭客將目標從電腦轉移到各式行動裝置上,以達到竊取資料之目的,甚至作為殭屍網路使用。不少企業或組織也允許個人以自備裝置(Bring Your Own Device, BYOD),連入組織網路處理公司事務。然而,這樣的趨勢也隨著駭侵行為及病毒散佈的增加,導致企業或組織遭到的資安威脅逐漸擴大。
身為行動裝置的使用者,應加強對於行動裝置的資安防護與意識,以下提供相關資安防護與建議:
一、應用程式安全
- 不明的應用程式下載來源
下載安裝應用程式應透過官方軟體商店如App Store、Google Play Store等正規管道,避免在第三方或不明來源處下載安裝,例如透過P2P或社群媒體安裝來路不明的盜版軟體或破解工具,特別是以檔案型式下載安裝的APK尤其危險,以免導致行動裝置資料遭竊、或被安裝後門程式等惡意軟體之風險。
- 應用程式檢測
美國Web應用安全組織OWASP,提出了開發行動應用時應注意並避免的10個安全項目Mobile Top 10,開發者可據以檢視自身開發之行動應用是否需修正或補足其防護能量,提升行動應用的資安強度。數位發展部及國內資安專家也參考國內外檢測標準,提出行動應用APP基本資安規範、動應用App基本資安檢測基準,提供使用者進行應用程式資訊安全檢測及評估其安全水準之依據。
- 應用程式更新
透過官方管道將應用程式更新至最新版本,並定期進行更新,以避免駭客利用應用程式的安全性漏洞進行駭侵行為。
- 應用程式權限要求
不少使用者在應用程式的要求下,便允許多餘權限予免費的應用程式,給予駭客入侵的機會。建議評估該應用程式要求的權限是否合理,並僅准許最小權限設定,例如關閉社群軟體上的自動下載功能,或是只允許通訊錄人員通訊,以及不允許非必要資料存取。
二、連線功能安全
- Wi-Fi
許多人習慣在車站、機場、飯店等公共場所用行動裝置連Wi-Fi上網,但免費Wi-Fi常隱藏釣魚陷阱,可能會監測使用行為、盜取個資,甚至造成錢財損失。建議使用免費公用Wi-Fi時,應使用安全的 VPN、僅在安全且加密的網站(網址為HTTPS開頭)登入,關閉行動裝置上的所在地偵測功能。
- 藍牙
建議使用者主動提防來自不明行動裝置的藍牙配對要求,只和信任的裝置進行配對連線。不使用時也建議將其關閉,以避免行動設備遭有心人士利用藍牙進行追蹤、駭入裝置並竊取資訊。
三、裝置使用/設定安全
- 密碼設定
建議行動裝置應設定螢幕鎖定密碼及PIN碼,避免遭未經授權的第三方人士入侵。密碼設定應注意複雜度(如中英文混合)、不使用簡單字元組合(如1111、abcdef),以及不要在多個帳戶使用相同密碼。
- 行動裝置破解
行動裝置原廠會設定安全措施,以保護裝置的安全性。部分使用者為取得更高權限功能,會選擇進行破解,破解後的裝置易受到資安威脅,影響安全運作並導致安全措施失效,建議不要破解行動裝置原廠的安全設置。
四、資料保護
在下載並安裝應用程式前,仔細閱讀其授權聲明,避免提供非該應用程式所必需的授權,以免洩漏行動裝置中的機敏資料。
建議將行動裝置的資料進行備份,以利裝置遺失損壞時能夠將資料進行復原。