【專訪】保護App安全 果核數位推出appGuard

2015/09/02

在平價智慧型手機出貨量大增的帶動下,從Gartner公佈的研究資料可以發現,全球智慧型手機出貨量已經連續兩年出貨量突破10億支大關,除帶動設群網路蓬勃發展外, Google Play或Apple Store上的App數量,亦呈現快速成長的趨勢,其中2014年Google Play上App數量更呈現兩倍的成長速率。 

根據App分析公司App Annie統計結果發現,Google Play平台上的App數量大約比Apple Store多出300,000個,兩者之間相差約17%左右,成為現今最大行動應用服務平台。只是此一趨勢也被駭客組織看中,刻意推出許多引誘消費者上當的惡意APP,成為散播惡意程式的新管道。

果核數位營運長許武先說,Google研發的Android作業系統主要訴求開放性,所以在系統保護能力上較為不足,自然容易受到駭客攻擊。此外,Google Play平台不像Apple Store有嚴格審閱App上架制度,導致心懷不軌的開發者,可以輕易在程式碼中植入任意惡意內容,再透過Google play平台散播到消費者的手機上。

另外,市場上Android品牌手機眾多,每個廠商又會推出不同型號的手機,當Google推出新修補程式時,並非所有Android手機用戶都可以在短時間內得到系統更新,而這些眾多未更新的使用者,就成了駭客最容易攻擊的目標。

 

 Android平台先天問題多 App亦遭受破解 

仔細分析Android平台上app容易被攻擊的原因,首先為系統本身的先天性問題,因為Android系統選擇Java作為其app開發的主要語言。而Java為半直譯式語言,所以在程式開發完成後,並不會直接將原始碼編譯成人類難以理解的機械碼儲存,因此存在被反編譯取得原始碼的弱點,原始碼被取得之後,駭客將會透過閱讀原始碼的方式,找出程式的漏洞或弱點。 

根據果核數位統計,Google play平台上前100大熱門遊戲,有超過90個app皆有可被反編譯取得原始碼的弱點。另外,Android系統並未限制app安裝來源,誘使許多使用者冒險至未經安全認證的第三方平台下載夾帶惡意程式的修改/破解版app,也導致了許多資安問題。 

許武先指出,由於目前app的開發者多半只注重於app功能面的知識或技術,對程式安全性的了解微乎其微,因此開發出來的程式,幾乎無法避免駭客各種方式的攻擊。 

目前被開發者忽略且危害較大的弱點,首先為沒有做完整性效驗,導致app可以被二次打包,修改或植入惡意程式後放在其他平台供使用者下載,導致使用者容易使用到有問題的app。第二點則是,App因沒有阻擋debugger或其他惡意植入的能力,以致於駭客只要使用debugger工具,便可以輕易地觀察及控制App運作方式與執行流程,進而開發惡意程式攻擊原版的App,可能導致網路交易的過程被竄改或重要資料被竊取等危害。最後,則是重要資料沒有加密就儲存,駭客可以輕易地竊取app重要資料如個資、交易紀錄、電子交易憑證等等。

 

appGuard操作容易 30分鐘完成保護 

由於許多駭客組織開始把攻擊目標鎖定在Apps,不少資安公司也開始針對App開發公司推出資安服務,訴求可以透過原碼檢測的方式,杜絕可能發生的資安威脅。只不過從整體資安防護與投入成本來看,此種傳統作法往往需要耗費許多時間與人力成本,無法符合行動化時代下的需求。 

許武先認為,原碼檢測或許可以找出程式碼中的所有漏洞,但並不代表程式開發人員有能力修改,而且即便修改完成後,也難保不會有新的漏洞出現。相較之下,appGuard則是採取直接保護APP的技術,軟體開發商不需提供原始碼,不需研發人員協助,直接針對二進位檔案(apk檔)進行保護作業。 

相較於其他業者得提供保護機制,appGuard執行保護的速度很快,大約可以在半小時之內完成,客戶拿到保護之後的apk檔案,在完成簽章測試後即可上架。另外,果核數位也會在保護前可先提供風險評估報告,方便開發人員修補及了解可能發生問題的來源。 

許武先指出,appGuard的功能完整,而且擁有防止逆向工程、防止APP遭篡改、阻擋偵錯、遊戲作弊及惡意植入、儲存資料加密等四大功能。此外,果核數位還額外提供appGuard客製專業版,可謂軟體開發業者提供更多樣的服務,以已符合不同環境下的使用需求。

 

原文連結

其他動態