臺灣熱門行動應用App潛藏多種資安風險，叡揚資訊呼籲企業要重視開發安全

iThome：https://www.ithome.com.tw/news/130259

隨著智慧型手機等行動裝置的應用日益普及，臺灣企業與公部門的許多業務，都推出了行動應用App，然而，開發者很可能以為有了加密保護措施，就擁有足夠的安全，忽略相關防護措施是否到位。在叡揚資訊年度解決方案日的活動上，資深產品經理游文賢揭露於2019年3月時，該公司針對臺灣80款常見的App執行黑箱檢測，發現近7成的App含有無用功能，可能會遭到攻擊者濫用，呼籲企業要重視行動應用App的開發安全。

游文賢表示，他們檢測的80款行動裝置App，主要來自我國中央部會與5都市政府，以及電信業者、金融單位、航空公司、電子商務平臺等單位，而且，提供App的企業也必須是該領域裡極具代表性的業者。同時，這些App在App Store或Google Play商店裡，擁有相當的知名度，不只是同類型App裡排行前20名，而且下載數量也超過10萬次以上。另外，則是這些App的功能裡，都涉及處理較為敏感的使用者個資，包含身分證字號、銀行帳號，以及信用卡資料等。根據叡揚所提供的資料，他們檢測的行動應用App裡，超過半數是銀行提供；由政府機關、交通業者與電信業者推出的App，分別占12%至14%之間，至於電商網站平臺的App比例最少，僅為6%。

至於檢測的方式，叡揚則是根據OWASP Mobile 2016規範，以及美國國家資訊安全保障合作組織（National Information Assurance Partnership，NIAP）的要求，採用叡揚資訊旗下代理的Kryptowire進行黑箱測試。結果顯示，總共多達59款App含有漏洞，而且其中部分是具有高風險的弱點，像是寫死在程式碼（Hard-Coded）的加密金鑰，或是SSL連線憑證竟能被繞過等。可惜的是，叡揚表示，礙於正在向App提供者通報檢測結果的階段，並未公布完整的App檢測報告。

內含未使用模組成App資安死角

他們基於OWASP Mobile 2016所列出的10大行動應用App風險分析結果中，這些受測的App就涉及7種，其中最多App隱含的風險，是應用程式同時包含了額外、不相關的功能模組，共有54款出現這種現象。雖然這種現象未必會直接帶來危害，但是如今駭客手法刁鑽，很可能鎖定開發者實際沒有使用的程式庫，找尋其中的漏洞，發動攻擊。游文賢更進一步指出，企業為了將防護的效益最佳化，保護措施通常集中於正式上線的各式功能，不會針對行動應用程式裡的未使用的模組，像是供測試專用的部分App功能，還有對應的應用系統伺服器等，加以防護，一旦遭受攻擊，駭客很可能就得以長驅直入企業內部環境，因此，這種問題背後隱含的風險，其實相當嚴重。

另一項叡揚資訊列出的風險，則是存放資料的措施不安全，也有49款行動應用App被發現這種問題。資料儲存不當，使得手機等行動裝置成為有心人士能夠竊取機密的管道。

除了上述2種資安風險之外，叡揚資訊也找到其他OWASP Mobile 2016所列出的威脅，像是採用不安全的資料傳輸機制、行動應用App能被逆向工程破解，以及加密強度不足等，多與加密防護機制有關。

 

在OWASP Mobile 2016所列出的10大行動應用程式風險中，叡揚檢測的臺灣在地80款App裡，就出現了圖中的7種，最氾濫的2項風險，分別是存在無用功能與資料儲存不安全。

在較為廣為人知的OWASP之外，由於Kryptowire本身是從美國軍方單位出身，產品本身也依據美國國家資訊安全保障合作組織規範設計，因此，叡揚資訊也順帶提到依據KIAP規章所檢測的結果，與OWASP涵蓋的行動應用App出現風險項目，可說是大致相近，包含App本身含有無用檔案（Leftover Files）、App編譯時採用不安全的組態，還有使用強度不足的加密字串（Encryption Seed）等，但相較之下，即使最多App出現的無用檔案風險，僅19款，不若OWASP Mobile 2016檢測結果高低落差懸殊。

 

從美國國家資訊安全保障聯盟（NIAP）檢測規範來看，受測的行動應用App裡，共出現了共11種風險，大致涵蓋了前述OWASP Mobile 2016 Top 10檢測結果裡的多數發現，但其中部分項目也區分更為詳細，以加密機制安全性不足的風險而言，就至少出現了不安全的加密與加密字串（Encryption Seed），以及寫死在程式碼的金鑰等。