核智安全從開發端切入,完整保護 App 安全,以 appGuard 融入 DevOps 開發維運流程,展現一條龍服務及在地專業團隊優勢
每隔一段時間就會出現提醒手機用戶儘快刪除特定 App 的新聞,而且頻率愈來愈高,顯見行動資安的挑戰雪上加霜。為了避免亡羊補牢造成的商譽、財務及多重損害,唯有從開發端著手並考量 App 的運行模式,同時保護程式本身與資料安全,才是釜底抽薪的唯一解方。
核智安全總經理林玄紹表示:「在 App 使用量倍速成長的同時,對 App 安全的認知也急遽提升。從DevOps 的白箱檢測工具、主力產品 appGuard 的App 安全保護,到規劃中的 App 安全戰情中心,我們不僅為 App 的安全保護提供了一條龍的專業服務,更有在地團隊零時差、零語言隔閡的支援陪伴。」
App 安全風險複雜化
根據非營利組織 OWA S P ( O p e n We b Application Security Project)的調查顯示,手機App 最常見的資安問題是在開發過程沒有加入記憶體的防止偵錯能力,這會導致 App 運行過程及訊息內容被側錄。
其次,駭客或有心人士透過反編譯執行逆向工程,導致原始碼及弱點完全曝光,這也會衍生出正版 App 被二次打包成偽冒 App 的完整性風險。此外,App 內存機密資料如帳密、個資、憑證缺乏加密,以及 App 到伺服器的過程被攔截的中間人攻擊,亦是常見的風險。
缺乏保護的 App 輕則被插入不堪其擾的廣告頁,更危險的是在頁面轉換過程被插入假頁面,誤導使用者提供個資、機敏資料或下載惡意程式。這些常見的 App 安全挑戰,正是核智安全自研產品appGuard 的設計出發點,不僅支援目前高強度的加密標準 AES-256,並已取得國際安全評估共通準則(Common Criteria)的 EAL2 等級認證,這也是軟體產品所能獲得的最高等級。
值得一提的是,appGuard 早在 2015 年就進軍App 安全市場並深耕至今,在台灣金融業的市占率超過 50%,同時在遊戲業、電商、政府單位也多有
斬獲。對於 OWASP 所提出的 App 資安問題,已有實證且成熟的多合一解決方案。
結合 DevOps 的層層把關
appGuard 全面支援 DevOps 環境的先進作法,讓 App 在開發階段就可以執行原始碼檢測,預先確認程式碼的撰寫是否造成資安漏洞;而在封裝成產品時,則可進行黑箱測試。App 正式上架前,建議使用第三方安全檢測工具如 AppTotalGo、appsweep,協助開發者快速驗證 App 在資安的潛在弱點或需要改進之處。
林玄紹總經理說:「App 原始碼是最需要保護的標的,但保護方式將直接影響 App 的使用者體驗和執行效能。目前,遊戲 App 的下載量和使用者數量遠多於其他類型的 App,當然也面臨更多的問題與挑戰,我們在此累積的專業、經驗與資源,可以遊刃有餘地運用在其他產業的 App。」
以加密保護為例,常見作法是在原始碼裡加入變數字,達到「Difficult to read」的混淆效果,但原始碼不僅虛胖也會影響效能。appGuard 可直接針對 app 進行加密保護,並在終端使用者開啟 App 時解密運行,無需修改原始碼就能達到「Can't read」的最高保護等級,亦可只針對特定段落進行分段式加解密,由於步驟簡單,使用效能完全不受影響。
與時俱進應對攻擊新手法
至於最常見的防止記憶體偵錯問題,業界常見作法類似於防毒軟體,在 App 裡加入檢查碼進行比對,但完整執行所有檢查行為會影響 App 的開啟效能,若是惡意行為不符合檢查碼的規則時,就能輕易創造出一種新的攻擊手法。appGuard 對原始碼加解密的作法等同於從底層做保護,徹底防堵其他任何 App 以記憶體偵錯的方式來窺探原始碼或手機內的機敏資料。
此外,當前有愈來愈多開發者和發行商選擇以單一平台同時開發 iOS、Android 雙版本 App 的工具,運行模式多是以 App 做為網頁瀏覽器,網頁一改版就會下傳新資料至 App。這個作法僅需維運網頁,可減輕對外媒介管理的心力。
針對網頁傳給使用者的 XML 檔案,appGurad可根據指定檔案位置對下載資料持續加密,這種客製化加密位置的作法,同樣可用於 App 裡的檔案目錄,在核心原始碼之外進行另一層加密。更重要的是,App 和 XML 檔案的保護通常需要兩套不同工具,但 appGuard 以單一工具就能同時提供兩種保護的作法,對開發者來說能用最快速的方式,降低 App 上架後會面臨到的資安攻擊。
從開發到使用的全程守護
採取 SaaS 服務形式的 appGuard,支援雲端和地端兩種運行模式,開發團隊只需執行「登錄、上傳、下載」三個步驟,無需修改原始碼就能完成保護,對於頻繁改版的 App 而言,可說是操作最為方便快速的工具。
而在手機 App 被保護後,不可或缺的關鍵步驟是使用第三方安全檢測工具進行檢測,才是最完整的流程。同時支援 iOS 和 Android,以及符合MAS或 OWASP 檢測項目,則是選擇工具時必須注意的條件。
除了軟體,核智安全在硬體面的投入也不遺餘力,為了避免模擬機受到網路頻寬等外在因素影響測試結果,核智安全的研發環境擁有上百支實體手
機,而且會隨市場新機發表而汰換,最能涵蓋當前的終端使用者環境,而且是全台灣 無僅有的專業服務。舉例來說,某網銀客戶的 App 加上 appGuard的保護之後,核智安全會以上百支實體手機進行App 下載、安裝、啟動等完整測試。
林玄紹總經理表示:「安全是必須持續不懈的一條龍服務,從 DevOps 開發環境為起點,到終端使用者狀況的監看與回應,唯有環環相扣的檢測與保護,才能確保提供安全的原始碼、安全的 App 與運行的安全。」