【專訪】資安人-appGuard保護App安全 果核數位協助業者搶攻行動商機

2016/12/13

2016年10月21日或許是網際網路發展史上最黑暗的一天,因為知名DNS服務公司-Dyn,在當天接收到多達千萬IP位址同時發出DNS查詢需求,導致該公司網路伺服器瞬時發生當機,以致於影響到眾多知名網站的正常運作,如Airbnb、Amazon、BBC等。根據該公司事後與資安公司合作調查後發現,該次DDoS攻擊的部分流量來自Mirai殭屍網路,其中絕大部分源自於中國杭州雄邁資訊科技生產的網路攝影機。由於設備預設密碼過於簡單,加上使用者無法修改密碼,以至於有多達數百萬台遭到駭客入侵,屢屢成為駭客組織發動大量DDoS攻擊的幫凶。

果核數位總經理丁瑋明指出,儘管物聯網為不同產業帶來驚人商機,但眾多設備卻也因為安全設計不良,衍生出多起嚴重的資安事件。以前述的DDoS攻擊為例,此種攻擊模式早以存在十多年以上,但在大量連網裝置出現之下,每年的攻擊流量都創下新高,成為資安人員揮之不去的夢魘。換句話說,企業在設計各種物聯網裝置、開發智慧型手機專用的App之前,更應該要注重軟體架構的安全,才能避免成為駭客眼中肥羊,避免辛苦建立的商譽受損。

App安全問題層出不窮 導致資安事件頻傳

相較於其他連網裝置,智慧型手機安全問題向來為人所詬病,首先是作業系統不同於行之有年的Windows平台,不僅無法安裝市面上常見的防護軟體,設備本身也因缺乏足夠運算能力,導致安裝行動裝置專屬的防護App後,多半都會影響到智慧手機本身的流暢度。在使用者不願意安裝再加上資安意識缺乏的狀況下,多數使用者往往會被眾多通訊軟體的釣魚訊息所誘騙,點擊到惡意的連結或網址,因此很容易遭到駭客入侵。

其次,Google Play平台對App審核並不嚴謹,很多惡意程式會偽裝成不同類型的App,當不知情用戶下載安裝、使用後,駭客便能偷偷取得手機控制權,除可能會竊取重要帳戶資料外,也可能會在特定時間變成殭屍電腦,成為助長DDoS攻擊力道的幫凶。

丁瑋明指出,而Android平台會成為駭客攻擊溫床的原因,在於該平台系統選擇Java作為開發App的主要語言,而Java屬於半直譯式語言,在App開發完成後並不會以機械碼儲存。因此,駭客只需透過反編譯工具,便能取得熱門APP的原始碼,不僅可以找出程式的漏洞或弱點,亦能透過植入惡意程式的方式,並且重新在Google Play平台上架,即可達成入侵行動裝置的目的。

然而若深入研究APP漏洞百出的原因,除Java語言的問題之外,更有部分原因來自於許多業者為因應市場需求,須在短時間內推出新版本的App,所以根本沒有時間分析安全性架構的問題,加上多數軟體設計人員欠缺資安意識,更是造成App漏洞百出的原因。以時下熱門的手遊市場為例,平均App壽命約在1個月左右,業者自然不可能重複驗證App的安全性,而果核數位推出的appGuard,則能夠用最簡單方式提供完整的保護。


避免App被逆向破解 appGuard保護能力強

果核數位自行研發的appGuard,擁有防止逆向工程、防止App遭篡改、阻擋偵錯、遊戲作弊及惡意植入、儲存資料加密等四大功能,加上採取直接保護App的做法,軟體開發商不需提供原始碼,也無需研發人員協助,便能直接針對二進位檔案(apk檔)進行保護作業。如此一來,不僅能夠避免App被駭客破解,即便軟體存在程式撰寫上的漏洞,也無需擔心會被有心人破解。

丁瑋明認為,許多資安業者都有針對App開發公司推出原始碼檢測的服務,期望藉此提高軟體的開發品質。此種做法雖然是不錯的白箱解決方案,可以解決App本身的弱點或漏洞,但對於Android系統的弱點或漏洞卻無法有效解決。果核數位appGuard可彌補Android系統先天上的弱點或漏洞,可適合各產業每一個App,做量身打造專屬的防護功能,有效阻擋駭客針對Android平台漏洞進行的各種攻擊。這是原始碼檢測與appGuard服務最大的不同之處。
果核數位提供appGuard服務之前,會先依照客戶需求提供風險評估報告,作為開發人員日後推出更新版本時的參考。其次,以appGuard對APP執行保護所需時間極短,大約可以在30分鐘內完成,客戶只需完成簽章測試後,即可於Goolgle Play平台上申請上架,完全不會影響到專案開發的進度,有助於抓緊稍縱即逝的商機,並減少資安事件的發生。

其他動態