別讓企業App成為品牌不定時炸彈！App安全風險大解析

2024/10/16

在智慧型手機主宰的時代，App已成為企業與客戶互動的重要管道。然而，隨著App的普及，也潛伏著一個往往被忽視的隱形威脅——App的安全風險。根據Zimperium於2023年發布的「全球行動威脅報告」，2022年Android系統的嚴重漏洞增加了138%，而iOS系統則佔據了80%的零日漏洞；當系統不再堅不可摧，企業必須時時自問：我們的App真的安全嗎？

「目前市場上的狀況是，絕大多數的App正暴露在高風險的環境下。」HyperG核智安全總經理林玄紹（Allen）指出，許多開發者在App上架後，往往疏忽或不理解App在使用者端會面臨的資安風險。事實上，App在上架後，無論是Android或iOS平台，都有安全風險，關乎使用者的手機環境是否乾淨？以及是否存在駭客等問題。

App漏洞如何摧毀企業

林玄紹解釋，App上架後主要面臨三大類風險。首先是程式碼被破解與入侵的風險，駭客可能透過反編譯技術解析程式碼，威脅企業的智慧財產權和商業機密。其次，還有記憶體中的資料洩露與惡意操作風險，駭客可能在App運行時擷取敏感資訊或注入惡意程式碼。第三類，則是仿冒與未校驗的應用程式攻擊，駭客可能製作山寨版App進行不法操作，透過打包、複製、嵌入廣告版位等方式不法牟利。

這些安全漏洞可能導致嚴重後果，包括開發商權益受損、品牌聲譽受創、使用者權益受損、數位資產被篡改，以及重要個資與憑證外洩。林玄紹舉例說明：「以越南某間銀行為例，越南政府有明文規定超過1,000萬越南盾的交易，就必須進行生物辨識（Face ID）驗證。但已經有駭客駭入網銀App竄改Face ID功能，讓使用者不需要驗證就能大筆轉帳，儼然把政府與銀行視為草芥，也對民眾造成嚴重財務損失，這就是App漏洞會造成的傷害。」

App安全健檢之必要

面對嚴峻的安全挑戰，企業的第一道防線就是全面且深入的安全檢測。然而，林玄紹坦言，目前企業在推動App安全時仍面臨四大挑戰。

首先，多數企業（尤其非金融業）普遍忽視App安全，缺乏危機意識。其次，即便意識到問題，企業通常不知如何著手，需要專業資安團隊協助。第三，企業往往缺乏人力同時兼顧App開發和安全維護。最後，在多元化且日新月異的手機環境中，該選擇適當的安全策略，也是一大難題。

該如何兼顧App的安全、效能、內容體驗？林玄紹表示，市場上有琳琅滿目的安全工具，不過最需要做的第一步，是做好自我安全健檢。「以AppTotalGo為例，這是目前業界難得提供免費App安全檢測報告的工具，支援Android與iOS兩大平台，提供多達82項檢測內容與免費建議，涵蓋完整性風險、逆向工程風險、機密資料風險和偵錯風險；只要Email註冊並上傳檔案，就能獲得檢測報告，非常簡單。」透過低門檻且免費的服務，除了提供詳細的診斷報告，也有建議的解決方案，有助於提升企業安全意識，盼幫助開發者能夠及時發現並修復潛在的安全漏洞。

一站式搭起App安全堡壘

安全議題不是單一挑戰，如一座堡壘絕非一磚一瓦，而是一整面的城牆。林玄紹說明，App需要全方位的安全解決方案，從App開發前、開發中到上線後的營運，都需要有完整的工具與策略。

如App安全健檢之後該如何亡羊補牢？以appGuard為例，作為App上線後的營運安全工具，即是針對Android及iOS兩大平台提供安全防護服務，透過防止逆向工程、防止App遭篡改、阻擋偵錯及作弊工具，以及加密儲存資料等方式，全面保護App的運行安全。

除了技術解決方案，林玄紹也提出企業內部安全文化的重要性。他建議企業定期進行安全培訓，培養員工的資安意識，並尋求外部專業團隊的協助來把關資安。林玄紹也強調，App上架到平台後，開發者仍有責任去把關，他比喻：「就像發售食品一樣，食品上通路後，消費者吃進去了，就算通路有問題，食品商也有責任。同理，App進到使用者手中，就算是平台有漏洞，開發者還是有責任要去解決，要有保護App品質與水準的覺悟。」

最後，林玄紹呼籲：「大家都知道資安重要，但往往是出了事情才真正有行動。愈不做，風險愈高；做了，就能減少風險。」面對安全這題，預防勝於治療，企業唯有未雨綢繆，才是上策。

原文連結: https://user275906.pse.is/6kbzwg