含有無用功能與檔案,為臺灣熱門行動應用App潛藏資安風險的情況最嚴重

隨著智慧型手機等行動裝置的應用日益普及,臺灣企業與公部門的許多業務,都推出了行動應用App,然而,開發者很可能以為有了加密保護措施,就擁有足夠的安全,忽略相關防護措施是否到位。在叡揚資訊年度解決方案日的活動上,資深產品經理游文賢揭露於2019年3月時,該公司針對臺灣80款常見的App執行黑箱檢測,發現近7成的App含有無用功能,可能會遭到攻擊者濫用,呼籲企業要重視行動應用App的開發安全。

游文賢表示,他們檢測的80款行動裝置App,主要來自我國中央部會與5都市政府,以及電信業者、金融單位、航空公司、電子商務平臺等單位,而且,提供App的企業也必須是該領域裡極具代表性的業者。同時,這些App在App Store或Google Play商店裡,擁有相當的知名度,不只是同類型App裡排行前20名,而且下載數量也超過10萬次以上。另外,則是這些App的功能裡,都涉及處理較為敏感的使用者個資,包含身分證字號、銀行帳號,以及信用卡資料等。根據叡揚所提供的資料,他們檢測的行動應用App裡,超過半數是銀行提供;由政府機關、交通業者與電信業者推出的App,分別占12%至14%之間,至於電商網站平臺的App比例最少,僅為6%。

至於檢測的方式,叡揚則是根據OWASP Mobile 2016規範,以及美國國家資訊安全保障合作組織(National Information Assurance Partnership,NIAP)的要求,採用叡揚資訊旗下代理的Kryptowire進行黑箱測試。結果顯示,總共多達59款App含有漏洞,而且其中部分是具有高風險的弱點,像是寫死在程式碼(Hard-Coded)的加密金鑰,或是SSL連線憑證竟能被繞過等。可惜的是,叡揚表示,礙於正在向App提供者通報檢測結果的階段,並未公布完整的App檢測報告。

內含未使用模組成App資安死角

他們基於OWASP Mobile 2016所列出的10大行動應用App風險分析結果中,這些受測的App就涉及7種,其中最多App隱含的風險,是應用程式同時包含了額外、不相關的功能模組,共有54款出現這種現象。雖然這種現象未必會直接帶來危害,但是如今駭客手法刁鑽,很可能鎖定開發者實際沒有使用的程式庫,找尋其中的漏洞,發動攻擊。游文賢更進一步指出,企業為了將防護的效益最佳化,保護措施通常集中於正式上線的各式功能,不會針對行動應用程式裡的未使用的模組,像是供測試專用的部分App功能,還有對應的應用系統伺服器等,加以防護,一旦遭受攻擊,駭客很可能就得以長驅直入企業內部環境,因此,這種問題背後隱含的風險,其實相當嚴重。

另一項叡揚資訊列出的風險,則是存放資料的措施不安全,也有49款行動應用App被發現這種問題。資料儲存不當,使得手機等行動裝置成為有心人士能夠竊取機密的管道。

除了上述2種資安風險之外,叡揚資訊也找到其他OWASP Mobile 2016所列出的威脅,像是採用不安全的資料傳輸機制、行動應用App能被逆向工程破解,以及加密強度不足等,多與加密防護機制有關。

在OWASP Mobile 2016所列出的10大行動應用程式風險中,叡揚檢測的臺灣在地80款App裡,就出現了圖中的7種,最氾濫的2項風險,分別是存在無用功能與資料儲存不安全。

在較為廣為人知的OWASP之外,由於Kryptowire本身是從美國軍方單位出身,產品本身也依據美國國家資訊安全保障合作組織規範設計,因此,叡揚資訊也順帶提到依據KIAP規章所檢測的結果,與OWASP涵蓋的行動應用App出現風險項目,可說是大致相近,包含App本身含有無用檔案(Leftover Files)、App編譯時採用不安全的組態,還有使用強度不足的加密字串(Encryption Seed)等,但相較之下,即使最多App出現的無用檔案風險,僅19款,不若OWASP Mobile 2016檢測結果高低落差懸殊。

從美國國家資訊安全保障聯盟(NIAP)檢測規範來看,受測的行動應用App裡,共出現了共11種風險,大致涵蓋了前述OWASP Mobile 2016 Top 10檢測結果裡的多數發現,但其中部分項目也區分更為詳細,以加密機制安全性不足的風險而言,就至少出現了不安全的加密與加密字串(Encryption Seed),以及寫死在程式碼的金鑰等。

原文來自 iThome Online