注意!金融業已成為駭客攻擊目標,4個防範手機App的資安威脅!
國內金融爆發史上首件ATM隔空吐鈔盜領案,短短五天損失超過8000萬,這才猛然驚覺資安危機已經在你我身邊。這是第一起國內大型金融業駭客案,也絕對不是最後一件。
老字號資安鑑識業者鑒真數位,實地抽測國內資本額前20大銀行在Google Play上架的行動網銀APP結果發現,超過八成的App資安嚴重等級屬於高度風險(註1)。駭客無國界,對於層出不窮、與時俱進的國際攻擊,程式開發人員要怎麼防範,築起資安防護的高牆,是刻不容緩的議題。
手機App該如何防範資安威脅?4個方法一次看!
App開發者在與資安威脅共存的時代,如何確保上架的App是被保護的? 能維護公司的名譽、利益與用戶的權益? 以下幾點是需要注意的:
1. 防止逆向工程
原始碼是否可以反編譯? 駭客透過程式碼的解讀可以發覺漏洞並展開攻擊,一般開發者會使用程式碼混淆技術,但程式碼混淆並不能真正阻止逆向工程,只能增大其難度。因此,對於對安全性要求很高的場合,僅僅使用程式碼混淆並不能保證原始碼的安全,而混淆太過也會造成開發人員無法偵錯。
最好的方式是把程式碼挖空處理,無法查看完整原始碼,也無法加入或移除程式碼,也不會對開發人員造成無法辨識的問題。
2. 偵錯日誌函數呼叫風險
開發者在除錯時常常會使用偵錯日誌函數,藉由輸出偵錯訊息來幫助程式設計師排除Bug,但偵錯日誌函數的呼叫應保證輸出的資訊是無資安風險的,涉及敏感資訊的輸出在正式或發佈版本中應該被關閉。
3. 資料儲存加密
使用者在使用APP時常常會輸入個資或其他敏感資料,這些資料通常會儲存在手機端,如果沒有針對儲存資料做加密的動作,可能會被惡意程式所竊取,造成機敏資料外洩。
除了加密之外,還可以進行綁定裝置的動作,使儲存在手機端的資料僅限制在特定裝置上使用,無法被複製到其他裝置上使用,將資料外洩的風險降到最低。
4. 憑證綁定
App在對伺服器使用HTTPS加密連線時,應該對伺服器憑證進行檢查,並且使用STRICT_HOSTNAME_VERIFIER嚴格校驗主機名稱,確保連線的伺服器是正確合法的目標伺服器,防止APP連線到駭客假冒的伺服器,進而導致連線時送出的帳號密碼等機敏資料遭到監聽。
瞭解更多:網路滲透測試、模擬駭客入侵測試服務
除了以上4點之外,上架前App還需要應做完整的漏洞檢測,包含像是:「程式碼動態植入」、「數位憑證竊取」、「Apk修改/重新打包」、「Webview遠端程式碼執行」等項目,才能確保將架上App資安風險威脅降到最低。你在明,駭客在暗,妨駭時代先行自保,刻不容緩!
延伸閱讀:
什麼是ApkCrack?3步驟瞭解駭客工具並完美預防駭客攻擊!
手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!