注意！金融業已成為駭客攻擊目標，4個防範手機App的資安威脅！

2016/07/15

國內金融爆發史上首件ATM隔空吐鈔盜領案，短短五天損失超過8000萬，這才猛然驚覺資安危機已經在你我身邊。這是第一起國內大型金融業駭客案，也絕對不是最後一件。
老字號資安鑑識業者鑒真數位，實地抽測國內資本額前20大銀行在Google Play上架的行動網銀APP結果發現，超過八成的App資安嚴重等級屬於高度風險(註1)。駭客無國界，對於層出不窮、與時俱進的國際攻擊，程式開發人員要怎麼防範，築起資安防護的高牆，是刻不容緩的議題。

手機App該如何防範資安威脅?4個方法一次看!

App開發者在與資安威脅共存的時代，如何確保上架的App是被保護的? 能維護公司的名譽、利益與用戶的權益? 以下幾點是需要注意的:

1. 防止逆向工程

原始碼是否可以反編譯? 駭客透過程式碼的解讀可以發覺漏洞並展開攻擊，一般開發者會使用程式碼混淆技術，但程式碼混淆並不能真正阻止逆向工程，只能增大其難度。因此，對於對安全性要求很高的場合，僅僅使用程式碼混淆並不能保證原始碼的安全，而混淆太過也會造成開發人員無法偵錯。
最好的方式是把程式碼挖空處理，無法查看完整原始碼，也無法加入或移除程式碼，也不會對開發人員造成無法辨識的問題。

2. 偵錯日誌函數呼叫風險

開發者在除錯時常常會使用偵錯日誌函數，藉由輸出偵錯訊息來幫助程式設計師排除Bug，但偵錯日誌函數的呼叫應保證輸出的資訊是無資安風險的，涉及敏感資訊的輸出在正式或發佈版本中應該被關閉。

3. 資料儲存加密

使用者在使用APP時常常會輸入個資或其他敏感資料，這些資料通常會儲存在手機端，如果沒有針對儲存資料做加密的動作，可能會被惡意程式所竊取，造成機敏資料外洩。
除了加密之外，還可以進行綁定裝置的動作，使儲存在手機端的資料僅限制在特定裝置上使用，無法被複製到其他裝置上使用，將資料外洩的風險降到最低。

4. 憑證綁定

App在對伺服器使用HTTPS加密連線時，應該對伺服器憑證進行檢查，並且使用STRICT_HOSTNAME_VERIFIER嚴格校驗主機名稱，確保連線的伺服器是正確合法的目標伺服器，防止APP連線到駭客假冒的伺服器，進而導致連線時送出的帳號密碼等機敏資料遭到監聽。

瞭解更多：網路滲透測試、模擬駭客入侵測試服務

除了以上4點之外，上架前App還需要應做完整的漏洞檢測，包含像是：「程式碼動態植入」、「數位憑證竊取」、「Apk修改/重新打包」、「Webview遠端程式碼執行」等項目，才能確保將架上App資安風險威脅降到最低。你在明，駭客在暗，妨駭時代先行自保，刻不容緩！

產業訊息

注意！金融業已成為駭客攻擊目標，4個防範手機App的資安威脅！

其他訊息

如何有效監控雲端成本？用「用量」而非「費用」來分析異常

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

果核 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

果核 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

果核邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

果核串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

果核 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

主動追蹤 AWS 「資源用量」，避免配額用盡造成任務失敗

我的網站慢嗎？如何檢測讓網站加速？新手必知 5 項網站優化指南！

阿里雲訪問控制與權限設置教學

該怎麼選擇 GCP Disk ?

AWS-WorkSpaces雲端桌面服務 (下集)

SOC 是什麼？SOC 資訊安全監控 v.s NOC 網路操作中心的差異？

2021 OWASP Top 10 A08軟體及資料完整性失效

OWASP前10大A07認證及驗證機制失效，瞭解如何修補及預防！

2022 果核 Hacker Talk 漂亮收尾， 解構開發模式、弱點檢測之安全盲點

CDN 內容傳遞網路是什麼？其運作的原理及用途為何？

SOC 資訊安全監控中心是什麼？4 項功能服務與優勢一次知！

如何提高網站的速度，為中國用戶提供可靠的體驗?

如果AWS訪問密鑰暴露怎麼辦？記住這4步驟一定要先做起來！

快速上手打造專屬直播平台

2021 OWASP Top 10 A06易受攻擊和已淘汰的組件

果核Hacker Talk傳授企業資安設計要訣，並探索IoT資安風險化解之道

果核 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

果核 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 果核 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！

嚇！手遊資安危機　數小時恐喪失上億營收

從Google Play下載App保證安全!？資安業者：超過100款惡意程式會偷資料、點擊詐騙

網銀App漏洞金管會關注