如何透過行動應用審核（MAV）補強 App 安全 企業行動 App 的防護盲點： MDM、MTD 的限制

你已經強化端點防護、加固網路架構，也制定並落實了嚴謹的行動裝置安全政策，但為何行動威脅依然能突破重圍？如果你是一位 CISO，你已部署防火牆、EDR、MDM、零信任政策等完整的資安防護措施，公司內部也採用COBO環境理論上已經能全面掌控員工使用的裝置、網路與應用程式。

那麼，還有哪個環節沒有被保護到？

MDM、MTD已都完成佈署，但員工在使用中的應用程式卻可能發生資料外洩、憑證暴露，甚至成為駭客入侵的後門。更關鍵的是，為了提高工作效率，員工往往會想方設法繞過限制，結果反而削弱了原先用來提升安全性的防護措施。例如， CamScanner曾在企業內部散播惡意程式，以及一款看似單純的來電顯示App，卻洩露了大量使用者的敏感資料。

現在，是時候重新檢視「安全」的真正涵義。過度倚賴MDM與MTD的防護，已不足以應對今日的行動威脅環境。

行動資安防護中 誤區與盲點

員工在行動裝置上每一次的點擊與滑動， 都可能讓企業的敏感資料暴露於惡意程式、網路釣魚攻擊，或大量蒐集資料的第三方SDK之下。然而，許多企業仍普遍認為，只要應用程式能在App Store或 Google Play 上架，就代表它足以安全地用於企業環境。

即使企業對行動裝置進行嚴格控管，但將裝置防護得再嚴謹，也不代表裝置一定是安全的。員工仍需每天與各式行動應用程式互動，而這些App並非全部都如表面上看來那麼安全。

如果行動應用程式的風險能完全被防堵，為什麼2024年Verizon《行動安全指數報告》指出仍有高達64%的資安主管認為行動裝置威脅對組織構成「高度或極高度風險」呢？

• 51% 的企業已經遭遇過由惡意軟體或未修補漏洞所引發的資安事件

• 85% 的受訪者表示行動威脅在過去一年明顯增加

• 74% 的熱門行動應用程式蒐集的資料量超過其功能實際所需

• 67% 的非預期應用程式安裝行為來自官方應用程式商店（Arxiv Study, 2023）

• 2024年度已揭露超過160項iOS系統漏洞

• 下載量介於500萬至1,000萬次的應用程式中，有50% 存在安全性缺陷

更值得警惕的是，這些風險同樣存在於企業核准使用的應用程式中。將「通過MDM核准」等同於「具備安全性」的假設，本身就是一項高度風險的誤解。

即使在COBO環境下 行動應用程式仍會洩漏資料

行動應用程式生態系的安全防護，從來不是單純把應用程式分成「安全」或「不安全」這麼簡單，而是要基於風險做出有依據的判斷與管理。即使某款應用程式被廣泛採用，也不代表它在COBO環境中就一定是安全的。

應用程式是否符合企業的資安架構，取決於它能存取哪些資料、實際的網路通訊行為，以及是否整合了第三方SDK或服務等多項因素。

然而，許多資安團隊仍依賴過時的「最佳實務」，例如：

• 下載前先查看 App Store 的使用者評價

• 僅安裝來自可信任開發者的應用程式

• 封鎖第三方應用程式商店，禁止側載

這些措施並未解決真正的核心問題——那些 「表面合法、實際高風險」的應用程式，可能會造成以下風險：

• 過度索取權限：要求存取與功能無關的敏感資料

• 程式設計不安全：讓資料暴露給未授權的第三方

• 安裝後被植入後門：透過SDK更新引入隱藏式威脅

許多資安團隊誤以為只要應用程式看起來沒有明顯惡意行為，就代表它是安全的。正是這種思維，往往成為資安事件發生的關鍵原因。

接下來的內容將透過實際案例說明，即使是「被信任的應用程式」，也可能在通過 Apple 與 Google 的審核機制後，仍然造成企業資料外洩。

案例分享： 通過上架審核的App也可能出問題

揭露世界領袖行蹤的健身應用程式

Strava 健身應用程式是一款廣受使用且評價良好的應用程式，卻曾意外接露美國軍方人員及特勤局特工的位置與行動路線。該應用程式透過彙整使用者資料，產生全球熱度地圖 (Global Heat Map)，將軍事基地等敏感地點內的人員運動軌跡清楚呈現，進而可能危及作戰與行動安全。

如果連軍事領袖與政府官員都有可能透過「核准使用的應用程式」無意中洩漏敏感資料，那企業員工又有什麼理由能倖免？這款應用程式不是惡意軟體，也不需要攻擊者刻意植入或強制安裝，而是以資安團隊未曾預料的方式收集並分享使用者資料，但究竟有多少組織真正評估過應用程式是否存在非預期的資料洩漏風險 (Leaky Apps) ？

蒐集憑證的生產力應用程式

企業使用者信任這些提升工作效率的應用程式，卻在不知不覺中，讓它們成為資安風險來源。許多標榜生產力的行動應用程式，可能在無意間成為竊取憑證與引發資安事件的管道，對企業造成重大威脅。

1. 熱門文件掃描App 竟暗藏惡意程式

CamScanner 是全球下載量極高的文件掃描應用程式之一，因相關研究人員發現其透過廣告 SDK 內嵌惡意模組，而遭 Google Play下架。

2. 看似單純的來電顯示App 卻洩漏敏感個資

Quokka 資安研究人員發現，Who – Caller ID 這款應用程式會將敏感個人識別資訊 (PII) 寫入系統日誌中，使其成為攻擊者的目標。如果一款功能單 純的來電顯示應用程式都能造成資料外洩，可想而知處理企業掃描合約的應用程式會造成多大的風險。

3. 行動應用程式販售資料的隱憂 至今仍未消失

早在2019年，就有Reddit使用者對預算管理類的行動應用程式販售「去識別化」使用者資料提出質疑，凸顯出這類應用程式在資料使用與保護透明度上的問題。六年過去，關於行動應用程式資料隱私與資料管理的疑慮不但沒有消失，反而依舊是企業必須正視的核心風險之一。 

高風險行動應用程式 對COBO環境的影響

如果攻擊者能繞過現有安全防護，並透過看似合法的應用程式散布惡意程式，那麼又有什麼能阻止惡意應用程式進入企業環境呢？

基於憑證的攻擊 (credential-based attacks) 需要更長時間才能被發現與解決。因被盜憑證或惡意內部人員造成的資安事件，平均要292天和287天才能被識別並完成控管。這意味著在採取行動之前，可能有將近10個月的時間造成潛在損害，凸顯了加強安全措施的迫切需求。

隨著惡意程式日益增多且持續進化，攻擊者手法也愈來愈精密。駭客不再只是散布明顯的惡意程式，而是將惡意程式碼「混入」可信任的應用程式中，降低被發現的機率。

我們有EDR/XDR，端點已經受保護了

在多層次資安防護架構中，通常第一道防線是以EDR/XDR系統為主的端點行為監控與回應。然而，行動環境的運作模式與傳統端點截然不同，需要一個專為行動生態系設計的安全防護層，而不是延伸既有的端點思維。

我們有MDM，為什麼還是不夠？

許多資安團隊依賴行動裝置管理 (MDM) 來鎖定企業裝置、控制應用程式安裝來源，以及管理企業裝置上的權限設定。雖然 MDM在這些方面確實有效，但它無法評估應用程式在安裝後的實際風險，也無法判斷其行為是否具惡意。

MDM無法偵測惡意SDK，尤其是應用程式更新後新增的SDK。MDM能控制應用程式的存取，但無法驗證應用程式安裝後的實際行為。

我們有MTD，那就安全了吧？

行動威脅防護 (MTD) 解決方案主要用來偵測裝置上已發生的即時威脅，例如惡意程式或網路釣魚攻擊。然而，這類解決方案並不會在裝置端即時分析行動應用程式本身，因為那需要龐大的系統資源。

因此，行動應用程式通常會被送往後端「實驗室」進行檢測，這可能導致最長48小時的通報延遲。等到資安團隊發現原本信任的生產力應用程式正暗中與其他應用程式協同運作 (App Collusion)，將鍵盤輸入或敏感資料傳送到海外伺服器時，資料外洩可能早已發生。

MTD只能在App被攻擊後發出警報，卻無法在第一時間阻止高風險App被安裝。

我好像還缺了什麼？MAV防護如何提供幫助？

這就是行動應用程式風險審核 (Mobile App Vetting, MAV) 在行動資安中缺失的關鍵環節。傳統工具多半採取事後反應與監控，而 MAV則是主動防護，在應用程式被安裝在員工裝置前即進行風險分析。MAV會評估應用程式的安全漏洞、高風險行為，以及是否符合企業資安與合規政策，確保只有「真正可信任」的應用程式，才能進入企業環境。

一套專為MAV設計的解決方案，會透過機器學習驅動的偵測引擎來：

• 在惡意程式執行前即識別未知威脅

• 偵測傳統掃描工具常忽略的隱藏惡意行為

• 建立惡意特徵對照表，讓資安團隊不必耗費時間解讀模糊的紅、黃、綠指標，而能直接取得可採取行動的情資

有了MAV，才能真正建立對行動威脅的可視性與控制力，完整掌握應用程式帶來的風險。

叡揚資訊引進的Quokka Q-scout可以將 Mobile App Vetting（MAV）無縫整合進企業流程，非常適合處理敏感客戶資料、財務紀錄或關鍵智慧資產的企業。其自動化解決方案可快速掃描、分析App，並提供清楚、可行動的結果，讓你取得與CISA MAV計畫相同層級的全面報告，協助企業做出有根據的決策。

• 即時風險評估：立即判斷用程式是否安全或存在風險，無需猜測

• 自動化合規與報告：支援合規需求，並可針對規範生成證據以佐證封鎖App的合理性

• 深度威脅分析：在部署前即偵測惡意程式、過度權限及高風險第三方程式碼

• 企業級可擴充性：可同時審核數千款應用程式，不影響業務運作效率

了解Quokka App 黑箱檢測>>>https://www.gss.com.tw/product-services-nav/info-security/quokka