行動裝置應用程式安全-六個開發人員須知

根據報導,2016 年有 69% 的企業部門使用兩至五種行動裝置應用程式,前一年增加 66%。

對企業而言,行動平台確實已經無所不在。它和許多新興的平台一樣,將會創造龐大的機會,尤其是以企業為目標的開發人員,

但這將對資料處理方式帶來何種影響?

[請參閱:行動裝置應用程式如何成為下一波網路犯罪的邊境]

根據報導,光是 2017 年 6 月,就有超過 1,000 個 Android 及 iOS 企業應用程式在應用程式與後端系統之間有不安全的通訊,暴露的資料量大約有 43 TB,至少有 39 個受影響的應用程式洩漏了 2.8 億筆個人身分資訊 (PII)。2016 年的一項研究發現,醫療保健及金融相關的行動裝置應用程式中,有 90% 含有重大的安全漏洞。

這些資訊呼應了「開放網路軟體安全計畫」(Open Web Application Security Project,OWASP) 最新版的常見行動裝置風險列表,這些風險包括多餘的功能、不安全的資料儲存方式及網路,有些應用程式幾乎完全沒有驗證及加密機制,無法阻止駭客進行逆向工程,重新封裝、欺騙或修改應用程式。

舉例來說,這些應用程式秘密允許存取裝置功能 (例如相機或錄音程式) 及各種個人身分資訊 (例如相片、聯絡人、簡訊、行事暦、位置及瀏覽記錄)。這些應用程式如果落入網路犯罪者的手中,顯然會帶來嚴重的後果。

無論是企業,或是一般使用者,隱私也是行動裝置應用程式重要的議題,行動裝置應用程式必須徹底檢查安全性,以免資料遭到濫用及感染惡意程式。最近發生在 UberBrightest FlashlightPathKim Kardashian: Hollywood 行動裝置應用程式,以及小米的智慧型手機等事件,都是最佳的案例。

[請參閱:2016 年行動裝置威脅概況]

由於職場自攜設備 (BYOD) 工作方式的盛行,各種應用程式使用相同的網路,存取相同的資料,行動裝置生態系統讓工作與個人用途之間的界線更加模糊。儘管有各種挑戰,行動裝置應用程式開發人員仍有一些對策可提供企業資源,同時不犧牲企業的安全性與個人隱私。

六個開發人員須知:

1.    強制實施最小權限原則

將您應用程式執行時的權限要求,限制在必要的資訊或裝置元件範圍內。安全漏洞及惡意程式會利用使用者提升的權限。行動裝置並無不同。瞭解您所收集的資料,讓您可以清楚地定義您應用程式的信任邊界。確保您的應用程式設計介面 (API) 在其工作流程中實行此原則。

[趨勢科技白皮書:虛假應用程式:假冒真實性]

2.    實行堅實授權及多要素驗證

應用程序的驗證及授權中的缺陷,是行動裝置威脅常見的攻擊途徑,這些管道讓駭客透過中間人攻擊冒充其他使用者,或者存取裝置或應用程式的功能 (繞過 PIN 碼、將惡意程式碼注入應用程式等)。這些都是網路銀行應用程式的致命傷,例如取得一般使用者的銀行帳戶並竊取金融記錄,即可藉此獲利。開發人員應保護各項功能的安全,例如驗證員工的使用者身分,或判斷消費者可在應用程式中存取或執行哪些資源。 Continue reading “行動裝置應用程式安全-六個開發人員須知”

解決行動裝置管理(MDM)的安全問題

將個人設備(或自帶設備BYOD)帶入工作場所會帶來控管和資料保護的問題。自帶設備不僅模糊了企業和個人資料間的界線,也帶來了風險,像是設備遺失或被竊,或經由員工所擁有設備造成的資料外洩事件

Mobile

 

現在進入行動裝置管理(MDM-Mobile device management )。行動裝置管理讓IT管理員可以防護和監控個人設備內的企業資料和應用程式。不過MDM並非沒有缺點。

令人擔憂的原因

行動裝置管理的主要問題之一仍然是安全性。今年Black Hat大會上的一場演講強調了一些和MDM相關的可能安全風險。他們的展示揭露出這些安全工具的漏洞。其中包括了「忽略身份驗證」和「發送未經加密的登錄權杖(token)」。研究人員甚至發現能夠在攻擊者的設備上假冒一個電話身份來發動攻擊。

這並非第一次針對MDM所提出的憂慮。去年的Black Hat歐洲大會上也有一場關於針對MDM攻擊的演講。這個演講專注在攻擊者如何取得敏感資料的方法,特別是透過間諜手機程式。

重新思考MDM

這些攻擊情境顯示出MDM並非成為另一種安全解決方案,而是可能會變成另一個受攻擊面。這正是為什麼公司在選擇保護他們設備的工具和介面時要非常的小心謹慎。想要部署MDM類型環境的公司應該要注意以下功能。

簡化使用者體驗。

員工必須能夠輕易地在他們的設備裡安裝必要的程式或應用程式。MDM應用程式應該要提供在不同平台上,像是Android和iOS。應用程式應該在智慧型手機和平板電腦上提供熟悉和流暢的體驗,確保員工可以輕鬆地使用應用程式內的各項功能。

使用讓員工有熟悉體驗的應用程式可以解決使用容器(container)技術常被提及的問題。容器技術是經常出現在自帶設備的技術,它讓IT部門可以管理員工設備內特定的「封鎖」部分。此容器內放有所有的企業應用程式和資料。  Continue reading “解決行動裝置管理(MDM)的安全問題”