遠傳電信防駭導入 Arxan APPs 安全保護沒有談判空間

秉持「只有遠傳 沒有距離」的品牌精神，遠傳電信自 1997 年成立以來跨足 2G、3G、4G 以及 Wifi 各式接取技術，近期更陸續推出多項網路應用產品與服務。遠傳電信多媒體暨後勤服務開發處游文賢經理表示： 「隨著行動 APPs 的多元及多樣化，遠傳電信對行動 APPs 的安全防護等議題也越來越重視。」尤其去年連續發生兩個重大的 APPs 資安事件，一個是大陸行動廣告商提供的第三方廣告SDK(軟件開發工具包)，利用專有 API 收集用戶個人資料；另一個則是台灣某電子錢包 APP 遭惡意攻擊事件。因此遠傳電信決心導入 APPs 安全防護軟體，為行動應用服務多加一層保障。 

ProGuard 混淆機制不夠完善
導入 Arxan 程式安全再升級 

事實上，遠傳電信在導入 Arxan 之前是藉由 ProGuard 進行程式碼擾亂及混淆，避免被逆向工程解出原始碼，雖然 ProGuard 是免費軟 體，但是功能太過簡易，防護不夠複雜，還需自行寫程式才能進行防護，因此希望更強大的 Arxan 取代原有的 ProGuard。 

游經理解釋：「去年台灣發生電子錢包 APP 被惡意攻擊之後，我們就檢視過遠傳電信所 有 APPs 的防護機制，和該公司不同，遠傳在 Server 上多做了一層保護，雖然相對安全很多，但仍無法保證這樣就是 100% 的保護。」 在這樣的契機之下，叡揚資訊資安團隊建議導入優於業界的 APPs 防護解決方案-Arxan，在通過遠傳電信內部 POC 及反組譯測試後，便 選擇導入 Arxan 作為 APPs 安全防護的最佳防 線。 

團隊自行開發 APPs 電子錢包安全為首要之急


游經理表示：「我們團隊對 APPs 非常熟悉， 所以知道要破解一支 APP 實在太容易了。」不 過游經理也坦言，目前市面上種類繁多的 APPs 確實不見得每個都需要加以防護，而且業界普遍對 APPs 安全的意識較為薄弱，所以容易發生 APP 資安事件。遠傳電信所有的 APPs 都自行開發，尤其是電子錢包的 APP 牽涉金流及個人機密資料，資安規範要求更為嚴謹，不能不注重資安問題，因此需要透過 Arxan 將整體 APP 資安提升到更高的境界。 

Arxan 搭配嚴謹系統測試確保不被駭客攻擊

遠傳電信有極為嚴謹的系統測試流程，在所有程式開發完上線前都必須經過 Code Review 、 資安團隊的滲透測試及效能測試(內容包含壓測、黑白箱及反組譯測試)，務必要讓所有程式都通過嚴謹的資安規範，才能上線服務。除了通過上述測試之外，防護工具也必須符合開發團隊三大需求：依需求彈性調整資安等級、 不影響開發速度、不影響系統效能。游經理笑著說：「在 POC後，我們內部曾經進行效能和反組譯測試。在效能方面，我們把一個 APP 包了Arxan，另一個沒有，經過測試效能並沒有甚麼差別；在程式保護方面，Arxan 的混淆演算法(Obfuscation Algorithm)相當有效，即便反組譯APP後也無法解碼。 Arxan 不但達到我們的需求，也確實能夠保護 APPs 不被駭客攻擊。」