GSS資安電子報0112期【2014年行動裝置(App)安全調查】
2015年一月09日(五) PM 02:45
資料來源: Arxan Technologies 翻譯節錄: 叡揚資訊 資訊安全事業處
原文完整版: 請線上瀏覽
軟體程式保護領導廠商Arxan於2014年11月公布年度行動裝置(App)安全調查,報告顯示前百大付費apps中,Android apps遭到駭客攻擊的比例高達97%、iOS apps高達87%。民眾常用的免費apps遭到破解次數也持續增加,特別是遊戲、金融服務、健康及醫療、零售購物apps,其中Android部分尤其嚴重。
全球Mobile Apps 應用持續增加
- 下載次數: 免費Apps將從2014年的1270億增加到2017年2530億次
- 營收預估: 付費Apps將從2013年的 258億美元增加到2017年700億美元
主要調查發現
許多APPS 都曾被攻擊
不幸的是受駭情況並未好轉,事實上iOS的狀況比去年更糟:百大付費iOS apps 遭駭的比例從2013 年的56% 大幅上升至2014 年的87%。顯示出iOS平台也很容易遭到駭客鎖定及攻擊。
iOS、Android受駭比例 (依產業類別)
重要建議
依Gartner應用程式安全分析師Joseph Feiman所提倡,在Feiman近期發表的Maverick報告中,他建議CIO資安長應「將應用程式主動式保護視為資安投資首要任務,且優先於周邊及基礎設施防護。RASP(Runtime Application Self Protection,程式執行階段自我保護)設計目的是保護程式,作法是將程式執行環境崁入保護元件。」以避免apps遭到駭客攻擊。
呼應資安專家的建議,2014年行動裝置(App)安全調查提出了幾項強化重點:
- Apps執行時若用到高風險資料,不論於哪種行動平台,皆應有防竄改機制、並於運行時有偵測威脅及自我防禦的能力
- 所有軟體開發時,應確保軟體及程式碼的機密性及安全
- 對於可以啟動行動裝置付款的軟體,應受到密碼及app程式碼硬化保護(app hardening)
- 企業應考慮僅發生於行動裝置的特殊資安風險,除了滲透測試外,更應防止有心人士利用未受保護app的執行碼(binary code),執行反組譯工程或竄改
*本調查報告分析360個apps,包括前100大付費軟體、20個相同的免費軟體(iOS& Android平台)、以及40個金融服務、健康及醫療、零售購物apps。
相關解決方案介紹: http://www.gss.com.tw/index.php/ap-protection/arxan-mobile-ensureit
相關分類主題: Mobile 安全
Follow us
