別讓企業App成為品牌不定時炸彈!App安全風險大解析

2024/10/16

在智慧型手機主宰的時代,App已成為企業與客戶互動的重要管道。然而,隨著App的普及,也潛伏著一個往往被忽視的隱形威脅——App的安全風險。根據Zimperium於2023年發布的「全球行動威脅報告」,2022年Android系統的嚴重漏洞增加了138%,而iOS系統則佔據了80%的零日漏洞;當系統不再堅不可摧,企業必須時時自問:我們的App真的安全嗎?


「目前市場上的狀況是,絕大多數的App正暴露在高風險的環境下。」HyperG核智安全總經理林玄紹(Allen)指出,許多開發者在App上架後,往往疏忽或不理解App在使用者端會面臨的資安風險。事實上,App在上架後,無論是Android或iOS平台,都有安全風險,關乎使用者的手機環境是否乾淨?以及是否存在駭客等問題。


App漏洞如何摧毀企業

林玄紹解釋,App上架後主要面臨三大類風險。首先是程式碼被破解與入侵的風險,駭客可能透過反編譯技術解析程式碼,威脅企業的智慧財產權和商業機密。其次,還有記憶體中的資料洩露與惡意操作風險,駭客可能在App運行時擷取敏感資訊或注入惡意程式碼。第三類,則是仿冒與未校驗的應用程式攻擊,駭客可能製作山寨版App進行不法操作,透過打包、複製、嵌入廣告版位等方式不法牟利。


這些安全漏洞可能導致嚴重後果,包括開發商權益受損、品牌聲譽受創、使用者權益受損、數位資產被篡改,以及重要個資與憑證外洩。林玄紹舉例說明:「以越南某間銀行為例,越南政府有明文規定超過1,000萬越南盾的交易,就必須進行生物辨識(Face ID)驗證。但已經有駭客駭入網銀App竄改Face ID功能,讓使用者不需要驗證就能大筆轉帳,儼然把政府與銀行視為草芥,也對民眾造成嚴重財務損失,這就是App漏洞會造成的傷害。」


App安全健檢之必要

面對嚴峻的安全挑戰,企業的第一道防線就是全面且深入的安全檢測。然而,林玄紹坦言,目前企業在推動App安全時仍面臨四大挑戰。


首先,多數企業(尤其非金融業)普遍忽視App安全,缺乏危機意識。其次,即便意識到問題,企業通常不知如何著手,需要專業資安團隊協助。第三,企業往往缺乏人力同時兼顧App開發和安全維護。最後,在多元化且日新月異的手機環境中,該選擇適當的安全策略,也是一大難題。


該如何兼顧App的安全、效能、內容體驗?林玄紹表示,市場上有琳琅滿目的安全工具,不過最需要做的第一步,是做好自我安全健檢。「以AppTotalGo為例,這是目前業界難得提供免費App安全檢測報告的工具,支援Android與iOS兩大平台,提供多達82項檢測內容與免費建議,涵蓋完整性風險、逆向工程風險、機密資料風險和偵錯風險;只要Email註冊並上傳檔案,就能獲得檢測報告,非常簡單。」透過低門檻且免費的服務,除了提供詳細的診斷報告,也有建議的解決方案,有助於提升企業安全意識,盼幫助開發者能夠及時發現並修復潛在的安全漏洞。


一站式搭起App安全堡壘

安全議題不是單一挑戰,如一座堡壘絕非一磚一瓦,而是一整面的城牆。林玄紹說明,App需要全方位的安全解決方案,從App開發前、開發中到上線後的營運,都需要有完整的工具與策略。


如App安全健檢之後該如何亡羊補牢?以appGuard為例,作為App上線後的營運安全工具,即是針對Android及iOS兩大平台提供安全防護服務,透過防止逆向工程、防止App遭篡改、阻擋偵錯及作弊工具,以及加密儲存資料等方式,全面保護App的運行安全。


除了技術解決方案,林玄紹也提出企業內部安全文化的重要性。他建議企業定期進行安全培訓,培養員工的資安意識,並尋求外部專業團隊的協助來把關資安。林玄紹也強調,App上架到平台後,開發者仍有責任去把關,他比喻:「就像發售食品一樣,食品上通路後,消費者吃進去了,就算通路有問題,食品商也有責任。同理,App進到使用者手中,就算是平台有漏洞,開發者還是有責任要去解決,要有保護App品質與水準的覺悟。」


最後,林玄紹呼籲:「大家都知道資安重要,但往往是出了事情才真正有行動。愈不做,風險愈高;做了,就能減少風險。」面對安全這題,預防勝於治療,企業唯有未雨綢繆,才是上策。


原文連結: https://user275906.pse.is/6kbzwg


其他動態