做好「隨時被駭」準備,App資安先驅果核數位:滴水不漏的資安保護過時了

2019.11.25 by
蔣曜宇
shutterstock
純網銀明年即將上路,台灣資安App先驅果核數位加強推廣手機App的資安意識。但他們發現,除了一般大眾資安意識不足,銀行端、開發者和政府都有待加強。

許多人的電腦裡面,可能或多或少都有安裝防毒軟體來避免中毒;但會在手機裡面安裝防毒軟體的人,恐怕屈指可數。

「一般人在下載App時,他要求你提供什麼權限,很多人根本沒看就按確定了。那可能後門就這樣裝進去了。」橘子集團旗下資安公司果核數位的總經理丁瑋明無奈地說。

智慧型手機成了人們的生活必需品、純網銀也準備在明年陸續上路,大眾的手機資安意識卻始終不見起色。有感於此,果核數位專注於開發App的資安防護機制,希望為飛快進步的手機科技,套上一層金鐘罩。

台灣App資安待加強,部分開發者連資料加密也沒有

手機App的資安風險控管之所以困難,除了大眾意識不足外,還有另外兩個面向: 政策規範不夠有力,以及App開發者的資安防護措施落實不完全。

在台灣,政府對於手機App的資安風險規範主要是依據經濟部工業局自2015年起實施的《行動應用 App 基本資安檢測基準》。該法規每年皆有進行沿革,但丁瑋明認為,一直到2個月前剛上路的3.1版本,這個規範才算有到位。

「這次的3.1版本參考了國外標準,如美國的NIST(美國國家標準與技術研究院)以及國際雲端安全聯盟CSA的規定,因而拉升資安檢測的水平,」丁瑋明說,「我們過去遇過許多App,即便通過了早期的驗證版本,只要花上兩個小時還是有辦法被我們破解。」

此外,開發者的資安意識也有待加強。果核數位發現,許多開發者對於Android及iOS兩大系統各自的弱點並不熟悉,資料儲存方面也遇過很多App根本沒有幫資料進行加密。一開始從防堵遊戲外掛起家的丁瑋明也指出,App跟遊戲類似,生命週期都比較短,開發者如何在App更新改版時,同時顧及資安漏洞的填補,也是一大挑戰。

為此,果核數位研發兩項手機資安App的防護機制: appGuard以及Smart Sensing 。丁瑋明稱appGuard為「資安的鋼鐵衣」,他們在App的外部架設一層虛擬的環境,擋住外界的攻擊。開發者無需提供App原始碼也可以加裝appGuard,也進而排除原始碼外洩的疑慮。

有感於市面上的App目前還沒有即時監控攻擊狀況的機制,果核數位也推出Smart Sensing的服務來配合appGuard的防護功能,透過大數據監控、隨時偵測App是否正在遭受攻擊。

丁瑋明說,「滴水不漏」的防護概念已經不合時宜,人們應該抱持著自己的App環境隨時有可能被入侵、破解的想法,才有辦法不斷隨駭客攻擊技術的上升,來調整資安防護的設計。
蔡仁譯攝影

丁瑋明強調,過去那種想要達到「滴水不漏」的防護概念已經不合時宜。 人們應該抱持著自己的App隨時有可能被入侵、破解的想法,才有辦法不斷隨駭客攻擊技術的提升,來調整資安防護的設計 。畢竟以目前的狀況來說,台灣的App資安仍在初期的發展階段。

資安管控機制不全,網銀仍需更多準備

資安發展要如何追上新服務與技術的研發,始終是許多新創所面臨的問題。丁瑋明以網銀為例,分享他所觀察到的業界狀況。

「很多銀行證券的App都是委外來進行開發的。而且當你打開它們的App,常常會發現它們都長得一樣,」丁瑋明說。果核曾經拜訪這些委外開發商,告訴他們App的資安防護必須升級,但關於資安防護的權責歸屬究竟在哪一方身上,也並沒有一套確定的說詞。因此,丁瑋明不諱言,認為網銀資安仍需更多的準備。

丁瑋明對開放銀行的到來,感到既期待又怕受傷害,尤其是開放銀行將大量運用到Open API。他指出,銀行透過資料的開放固然可以讓許多第三方業者開發新功能,但這些API的程式開發品質如何管控?一旦銀行將資料開放,獲得使用者的同意開放權限給第三方業者後,萬一資料洩漏,權責歸屬問題又該如何處理?這些都是未來開放銀行需要面對的問題。

資安界的下一個難題:IoT時代

作為台灣資安業界專注於手機App資安的先驅,果核數位也看到未來台灣資安的一大挑戰:IoT時代的來臨。

丁瑋明表示,由於人們對App資安意識的不足,因為下載App而被安裝後門的手機不計其數。他預測,過去主要由電腦來發動的DDoS攻擊,以後可能都會由手機來發動了。

「只要發動攻擊時每個人送出幾k的網路流量,要達到1.7T的攻擊都有可能。以前只要看到破T的DDoS攻擊量我們都很不敢置信了。」他說,一般公司根本無法承受這樣的攻擊,隨著IoT時代的來臨,更多的設備都可能被用來發動DDoS的攻擊。

「只要發動攻擊時每個人送出幾k的網路流量,要達到1.7T的攻擊都有可能。」丁瑋明說。
shutterstock

IoT時代的資安也將遇到新的挑戰——IoT設備太多樣化,而且不像手機主要是以Andorid及iOS為主,IoT設備各家企業的底層系統都不太一樣,光是如何進行檢驗就要考慮相容性等複雜問題。IoT也涉及到如車子這種相對封閉、保守的產業,不願意對外公開系統,因此提升資安防護的難度。「這會是一個非常複雜的市場,但肯定也是一個很有前景的市場,」丁瑋明說。

現在,果核數位也逐漸往海外發展,在香港、新加坡開設新據點,並依照各地的市場需求提供不同服務。在金融業發達的香港,他們就繼續推廣App資安相關的業務;而在東南亞,則先從老本行遊戲資安的服務做起。

此外,丁瑋明也計劃開始在海外進行併購,希望透過當地資安公司的協助,能讓果核數位更快地擴大佈局,進一步打入越南、馬來西亞、泰國等其他的東南亞國家。

責任編輯:陳映璇

延伸閱讀

每日精選科技圈重要消息