• 發布單位:TWCERT/CC
• 更新日期:2023-02-06
• 點閱次數:2935

1.簡介
2.行動應用資安威脅
3.行動應用防護
4.分析與建議

一、簡介

APP是應用程式(Application)的縮寫，是一種軟體應用程式，主要是在智慧型手機或行動裝置中使用。

行動應用APP依其功能可區分為遊戲類、教育類、商業類、生活風格類、娛樂類，以及工具類等數種類型。

正因為行動應用APP的廣受歡迎，使得駭客逐漸將駭侵或病毒散佈的目標從電腦轉向行動裝置的APP上，並且藉由使用者對APP的信任，透過行動應用APP進行惡意行為，從而獲取不法利益。

TOP

二、行動應用資安威脅

(一)行動應用APP資安威脅分析

行動應用APP的資安威脅，統稱為惡意行動應用程式(Malicious Mobile Applications)，透過吸引使用者的某些功能或活動，誘使使用者下載並安裝該APP，進而自動安裝惡意程式以竊取行動裝置中的資訊，甚至修改裝置內相關設定。

根據賽門鐵克ISTR報告，單純的惡意APP數量有逐漸下降之趨勢，然而勒索性的APP卻上升了，尤其是針對企業的勒索攻擊。因此，不論是企業或個人，對於行動裝置的安全防護，必須保持一定的警覺。

在所有的惡意APP中，比例最高的為工具類型，其次為生活風格類型，再其次為娛樂類型之APP。工具類型的APP通常會要求給予較高的使用權限，駭客即利用此較高的授權，進行資料竊取、修改設定等惡意行為。
 

(二)行動應用APP資安威脅及案例

隨著APP數量以及使用者將機敏資訊存於行動裝置的比例增加，惡意APP對使用者的威脅以及損害程度逐漸上升。除了個人使用者外，企業同樣也遭受惡意APP的入侵，這些惡意APP可被分為以下五種類型：

1. 廣告(Adware)：經常偽裝成一般合法應用程式，並涉及購買行為。
   美國的移動安全防護及分析公司Wandera，曾發現Google Play商店中的兩款美肌APP會跳出惡意廣告，並且加速行動裝置的電量流失。因此，當使用者下載行動應用APP後，若有廣告出現或是行動裝置的運行速度變慢，電池耗用增加，極可能是下載並遭到惡意APP的侵襲。
2. 網路釣魚(Phishing)：此種類型之惡意APP主要是將使用者導入釣魚網站，並且誘導使用者輸入相關資訊，以竊取個人資料。趨勢科技發現在Google Play商店中，有多款美肌相機APP會將使用者導入釣魚網站中並使其留下個資。因此，若使用者在下載並安裝行動應用APP後，突然收到關於贏得獎品，或帳號、訂閱服務將被停止等訊息，都極有可能遭到網路釣魚APP的駭侵。
3. 殭屍網路(Bots)：此種惡意APP可以在行動裝置後台運作，和殭屍控制主機(botmaster)聯繫並執行命令，使用者不易察覺。
   曾有一款名為Hidden Administrator的惡意APP，以Android系統為目標，在進入受害者行動裝置之後便隱藏起來。此應用程式會將自己的權限提升至管理員等級，並且控制該受害行動裝置，使變成殭屍網路或挖礦的工具。因此，若使用者在下載並安裝APP後，其行動裝置容易產生連線中斷、網路無法連接，或是在未經使用者授權的情況下，行動裝置自動安裝或移除任何APP，則該行動裝置極有可能已下載到殭屍惡意APP。
4. 間諜軟體(Spyware)：會監控和記錄使用者的裝置狀態或行為資訊，例如簡訊、電子郵件、電話紀錄、聯絡人、地理位置等訊息，並分享給遠端的伺服器。
   趨勢科技發現六款於Google Play商店上架之間諜軟體APP。這六款惡意APP，都是由被稱為「MobSTSPY」的間諜軟體偽裝而成，當使用者啟動後，間諜軟體會檢查行動裝置的網路狀態，搜集裝置型號等設備資訊，以及簡訊、電話簿等使用者資訊，再將竊取的資訊回傳給中繼站伺服器。因此，使用者在下載並安裝行動應用APP後，若發現行動裝置有奇怪的行為，除了應將可疑的APP移除外，也必須檢查內部是否有被安裝或放置可疑的檔案及程式，並將其移除和卸載。
5. 下載器(Downloader)：此種程式自身並非惡意程式，但會隱身於APP中，負責下載其他的惡意程式到使用者行動裝置中。
   以色列資安公司Check Point，在Google Play商店中發現一款新的惡意APP。該惡意APP具有開啟特定網址的功能，並進行網路釣魚行為，也能替受害行動裝置安裝新的惡意程式。因此，當使用者下載並安裝APP後，若出現未經使用者授權下載之APP、檔案，或突增電池耗用、網路流量，以及額外費用等，都可能是行動裝置遭惡意下載器感染所致。

TOP

三、行動應用防護

(一)行動應用APP防護機制

惡意APP難以完全防範，使用者在下載行動應用APP之前，必須注意下述幾點：

1. 定期更新行動裝置作業系統或應用程式之版本，配合廠商進行漏洞修補，提升防護能量。
2. 僅從信用良好的應用程式商店下載行動應用APP。
3. 許多惡意APP會偽冒知名品牌或企業的標章，下載前須檢查並識別該APP是否確為該品牌或企業所屬。
4. 在下載並安裝APP前，仔細閱讀其授權聲明，避免提供非該APP所必需的授權，以免洩漏行動裝置中的機敏資料。
5. 使用者可以安裝行動安全應用程式，協助辨識惡意APP，以隔絕並保護行動裝置中的機敏資料。
6. 為了減少行動裝置或資料因惡意APP遭到破壞，建議使用者定期備份手機中的機敏或重要資訊。

美國的Web應用安全非營利組織OWASP，提出了開發行動應用APP，必須注意並避免的10個安全項目Mobile Top 10：

1. 平臺使用不妥當(Improper Platform Usage)：主要為開發者未確實使用平臺權限、TouchID等安全控管機制。為了防止平臺使用不當，在行動應用APP開發時，必須在伺服器端實踐安全編碼(Secure Coding)及安全相關設置。
2. 不安全的數據存取(Insecure Data Storage)：當開發者未針對文件或機敏資訊的存取進行管控時，就容易出現存取漏洞。因此，開發者必須避免使用較差的加密資料庫，並應設定須透過特殊的工具方能進行數據存取。
3. 不安全的通訊(Insecure Communication)：在行動應用APP數據傳輸的過程中，駭客可以透過系統或設備的漏洞竊取傳輸中的機敏資料。因此，開發者必須注意資訊傳輸的安全設定，或使用可信的憑證中心所提供的簽章，防止因通訊不安全造成的損失。
4. 不安全的身分驗證(Insecure Authentication)：由於行動裝置經常只要求使用者輸入短密碼，導致易於被破解入侵。因此，開發者必須避免較弱的身分驗證模式，確保相關程序都在通過嚴謹身分驗證後方可使用。
5. 不足夠的加密法(Insufficient Cryptography)：若開發者未使用足夠且有效的加密法，則駭客容易入侵竊取資料，甚至還原加密數據。因此，開發者應使用經過驗證且經得起考驗的加密標準，替相關資訊加密。
6. 不安全的授權(Insecure Authorization)：若開發者使用較為脆弱的授權方式，則駭客可能會以合法使用者的身分登入APP中，取得其不應取得的權限。因此，建議開發者應使用後端伺服器中的訊息進行驗證，避免使用來自於行動裝置的權限資訊進行授權驗證。
7. 較差的程式碼品質(Poor Code Quality)：此種類型的問題，本身並不一定是安全問題，但容易引發安全的漏洞。因此，開發者必須確保在開發團隊中，都維持一致的編碼方式。
8. 程式碼竄改(Code Tampering)：由於APP及大部分數據都置於行動裝置中，駭客可能入侵後竄改APP中的程式碼，或是更動記憶體中資訊等。因此，開發者必須提供驗證機制，檢測該行動應用APP是否曾經遭到他人竄改，並執行適當處置行為。
9. 逆向工程(Reverse Engineering)：駭客可能透過某些工具針對APP進行反組譯解析，或是從中得到該APP的相關資訊、機敏資料等，甚至藉以對後端系統進行攻擊。因此，為了防範逆向工程，開發者必須使用混淆工具，將其程式碼、字符表等資料進行混淆處理，避免輕易遭到逆向工程的威脅。
10. 額外功能(Extraneous Functionality)：許多開發者為了方便進行程式的修改或安全控管，會在APP的程式碼中留下額外功能，雖不具惡意，但卻可能被駭客利用來入侵並竊取相關資訊。因此，為了防範此資安問題的發生，通常須由資安專家對該行動應用APP進行程式碼檢查，方能確保沒有任何隱藏功能。

數位發展部也邀集國內資安領域專家，參考國內外檢測標準，提出行動應用APP基本資安規範，分別從「行動應用程式發布安全」、「安全敏感性資料保護」、「交易資源控管安全」、「行動應用程式使用者身分鑑別及授權與連線管理安全」、「行動應用程式碼安全」及「伺服器端安全檢測」等六個層面提出資訊安全技術要求，供業界開發行動應用程式時依循參考，以提高行動應用APP的安全品質。

另為提供第三方機構針對行動應用程式，進行資訊安全檢測及評估其安全水準之依據，進而發布「行動應用App基本資安檢測基準」，以行動應用程式之功能分類，訂定各類別之安全要求範圍，分為三級：
L1：無須使用者身分鑑別之行動應用程式。
L2：須使用者身分鑑別之行動應用程式。
L3：含有交易行為之行動應用程式。

欲進行檢驗之行動應用APP，若同時符合兩個以上之類型特徵，則以符合類型中檢測項目較多者做為檢驗依據。
 

(二)行動應用APP安全檢測概況

根據行動應用資安聯盟的數據，在總體通過驗證之APP中，通過的行業類別佔比分別為：金融業57.2%、其他類別(如工具類)34.4%、醫療4.7%、行動支付類2.1%、通訊類1.6%。

再針對三個檢測基準進行統計，在總體通過驗證之APP中，通過L1級佔比8%、L2級佔比36.6%、L3級佔55.4%。

TOP

四、分析與建議

1. 行動應用APP隨著行動裝置的普及正快速成長，將是未來軟體發展的一大重點。
2. 隨著行動應用APP的普及，其相關之惡意程式也逐漸增多，且因為企業允許個人自備裝置(BYOD)數量的增加，以致惡意行動應用程式對企業的威脅也逐漸上升。
3. 行動裝置中勒索惡意APP的數量有上升趨勢，代表駭客將許多勒索軟體從電腦轉而以行動裝置做為目標。
4. 台灣因惡意APP受害的比例略高於全球平均，因此使用者仍須注意行動應用APP的使用，避免遭受惡意APP的攻擊。
5. 為減少惡意APP之威脅，使用者宜定期更新行動裝置作業系統、相關軟體及應用程式，盡量從信用良好之應用程式商店下載APP，並識別商標、檢驗其功能權限。也應定期備份裝置中的重要資料或機敏資訊，以降低損害風險。
6. 美國的Web應用安全非營利組織OWASP，提出了開發行動應用APP最可能發生的10個弱點，希望開發者能在進行APP開發製作時加以注意，以減少資安漏洞，達到較佳的APP資安防護。
7. 我國政府也針對行動應用程式的開發，發布「行動應用APP基本資安規範」，以及「行動應用App基本資安檢測基準」，提供L1、L2、L3三個等級對應需檢測驗證的項目，以提高APP的資訊安全。
8. 由於行動應用APP隨著行動裝置的蓬勃發展，其數量逐年快速增加，許多病毒或駭侵手法也從電腦轉往行動裝置。除了使用者需注意並維持行動裝置的安全外，開發者更應針對所開發之行動應用APP進行全面檢測，建議可尋求相關資安檢測實驗室協助驗證，以提高其安全性，並讓使用者放心使用。

TOP