【資安與工具專欄】2014年行動裝置(App) 安全調查報告
軟體程式保護領導廠商Arxan 於2014 年11月公布年度行動裝置 (App) 安全調查,報告顯示前百大付費Apps 中,Android Apps 遭到駭客攻擊的比例高達97%、iOS Apps 高達87%。民眾常用的免費Apps 遭到破解次數也持續增加,特別是遊戲、金融服務、健康及醫療、零售購物Apps,其中Android 部分尤其嚴重。
全球Mobile Apps 應用持續增加
■ 下載次數:免費Apps 將從2014年的1,270億增加到2017 年2,530 億次。
■ 營收預估:付費Apps 將從2013 年的258 億美元增加到2017 年700 億美元。
但不幸的是,主要調查發現Apps 受駭情況並未好轉,事實上iOS 的駭客攻擊狀況比去年更糟:百大付費iOS Apps 遭駭的比例從2013 年的56%大幅上升至2014 年的87%。顯示出iOS平台也很容易遭到駭客鎖定及攻擊。
主要調查發現
許多APPS 都曾被攻擊
不幸的是受駭情況並未好轉,事實上iOS的狀況比去年更糟:百大付費iOS apps 遭駭的比例從2013 年的56% 大幅上升至2014 年的87%。顯示出iOS平台也很容易遭到駭客鎖定及攻擊。
iOS、Android受駭比例 (依產業類別)
來自Arxan的重要建議
依Gartner 應用程式安全分析師Joseph Feiman所提倡,在Feiman 近期發表的Maverick 報告中,建議CIO 資安長應“將應用程式主動式保護視為資安投資首要任務,且優先於周邊及基礎設施防護。RASP (Runtime Application Self Protection,程式執行階段自我保護) 設計目的是保護程式,作法是將程式執行環境崁入保護元件。”以避免Apps 遭到駭客攻擊。為呼應資安專家的建議,2014 年行動裝置 (App) 安全調查提出了幾項強化重點:
■ Apps 執行時若用到高風險資料,不論於何種行動平台,皆應有防竄改機制,並於運行時有偵測威脅及自我防禦的能力。
■ 所有軟體開發時,應確保軟體及程式碼的機密性及安全。
■ 對於可以啟動行動裝置付款的軟體,應受到密碼及App 程式碼硬化保護(App hardening)。
企業應考慮僅發生於行動裝置的特殊資安風險,除了滲透測試外,更應防止有心人士利用未受保護Apps 的執行碼(binary code),執行反組譯工程或竄改。
*本調查報告分析360個apps,包括前100大付費軟體、20個相同的免費軟體(iOS& Android平台)、以及40個金融服務、健康及醫療、零售購物apps。
延伸閱讀
Follow us
