至於檢測的方式,叡揚則是根據OWASP Mobile 2016規範,以及美國國家資訊安全保障合作組織(National Information Assurance Partnership,NIAP)的要求,採用叡揚資訊旗下代理的Kryptowire進行黑箱測試。結果顯示,總共多達59款App含有漏洞,而且其中部分是具有高風險的弱點,像是寫死在程式碼(Hard-Coded)的加密金鑰,或是SSL連線憑證竟能被繞過等。可惜的是,叡揚表示,礙於正在向App提供者通報檢測結果的階段,並未公布完整的App檢測報告。
內含未使用模組成App資安死角
他們基於OWASP Mobile 2016所列出的10大行動應用App風險分析結果中,這些受測的App就涉及7種,其中最多App隱含的風險,是應用程式同時包含了額外、不相關的功能模組,共有54款出現這種現象。雖然這種現象未必會直接帶來危害,但是如今駭客手法刁鑽,很可能鎖定開發者實際沒有使用的程式庫,找尋其中的漏洞,發動攻擊。游文賢更進一步指出,企業為了將防護的效益最佳化,保護措施通常集中於正式上線的各式功能,不會針對行動應用程式裡的未使用的模組,像是供測試專用的部分App功能,還有對應的應用系統伺服器等,加以防護,一旦遭受攻擊,駭客很可能就得以長驅直入企業內部環境,因此,這種問題背後隱含的風險,其實相當嚴重。
除了上述2種資安風險之外,叡揚資訊也找到其他OWASP Mobile 2016所列出的威脅,像是採用不安全的資料傳輸機制、行動應用App能被逆向工程破解,以及加密強度不足等,多與加密防護機制有關。
在OWASP Mobile 2016所列出的10大行動應用程式風險中,叡揚檢測的臺灣在地80款App裡,就出現了圖中的7種,最氾濫的2項風險,分別是存在無用功能與資料儲存不安全。
在較為廣為人知的OWASP之外,由於Kryptowire本身是從美國軍方單位出身,產品本身也依據美國國家資訊安全保障合作組織規範設計,因此,叡揚資訊也順帶提到依據KIAP規章所檢測的結果,與OWASP涵蓋的行動應用App出現風險項目,可說是大致相近,包含App本身含有無用檔案(Leftover Files)、App編譯時採用不安全的組態,還有使用強度不足的加密字串(Encryption Seed)等,但相較之下,即使最多App出現的無用檔案風險,僅19款,不若OWASP Mobile 2016檢測結果高低落差懸殊。
從美國國家資訊安全保障聯盟(NIAP)檢測規範來看,受測的行動應用App裡,共出現了共11種風險,大致涵蓋了前述OWASP Mobile 2016 Top 10檢測結果裡的多數發現,但其中部分項目也區分更為詳細,以加密機制安全性不足的風險而言,就至少出現了不安全的加密與加密字串(Encryption Seed),以及寫死在程式碼的金鑰等。