如果企業繼續忽視他們在應用程式商店上的情況,就可能有失去客戶的風險。隨著惡意行動軟體持續成長,(Google Play上前 50 的免費應用程式,近 80% 是山寨版! 恐引發個資外洩、手機中毒及金錢損失)公司和開發者還遭遇另一個來自山寨版的挑戰。
對於需要在Google Play上推出官方行動應用程式的公司來說,假應用程式可能會對信譽和營收都帶來麻煩。對使用者來說,也有類似的影響,只是較為個人。如果使用者被騙去下載這些應用程式,最終可能會導致資訊被竊、名譽受損以及對公司整體品牌和服務的不滿。
在Google Play這樣的應用程式商店上推出官方應用程式的公司對於減少使用者安裝假應用程式的風險上扮演了重要的角色。通過適當建立自己的身份和應用程式,他們可以很好地幫助使用者分辨那些是正牌應用程式,哪些是假冒的版本。例如:理想狀況下,所有的應用程式都該由同一名開發者發布,像是下列的各種趨勢科技應用程式:
圖1、Google Play上的趨勢科技程式
然而,我們也注意到有些組織並沒有做到這一點。相反地,出現多個開發者在發佈各種版本的官方應用程式。
圖2、各種銀行應用程式有著不同的開發者
為什麼會這樣?Android要求所有的應用程式都要簽章過(即使只是自我簽章)。當然,大型組織會有不同團隊負責開發不同的應用程式。可能會用不同的私鑰來來簽章開發的應用程式,即使它們會被整合在一個帳號下。此外,可能用不同帳號來上傳應用程式,即使它們全都是同一家公司。
這種做法可能造成使用者的混淆(如圖2所示),因為不清楚哪個是官方帳號。即使應用程式都整合在一個帳號下,出了Google Play就沒有辦法確認這些應用程式是不是合法(因為憑證是用來確認作者)。在這第三方商店上就可能產生這應用程式是不是合法的困擾。
對於開發者來說,主要的影響是客戶可能無法正確的識別他們的應用程式,他們可能會失去潛在的客源。然而對使用者來說,這可能造成大的危險,因為這會讓找到「合法」版本的應用程式變得困難(例如,所用的開發者名稱可能無法讓人清楚是誰發布這應用程式)。此外,如果使用者想要檢查有哪些其他應用程式也是由特定的開發者發表,可能也會找不到。雖然這並不一定是件壞事,但是惡意應用程式可能也會利用這一點。
我們要如何知道誰是假冒的?
企業需要確保自己能被識別為自家應用程式的可信來源。組織採用適當的金鑰管理來讓所有發表的應用程式都由同一個金鑰簽章並不是件非常難的事:很多大公司都可以做得到。解決辦法是實施適當的金鑰管理做法;大型組織的IT部門應該有能力去安排好這件事。理想狀況下,所有的官方應用程式都應該由同一份憑證簽章,綁定在一個開發者帳號上。
對於消費者來說,這有一個好處:所有來自同一個組織的應用程式在Google Play上都顯示來自同一個開發者。當官方應用程式可以被正確地識別,就可以幫助使用者識別假的應用程式,防止無意中下載了它們。讓他們可以免於資訊竊取等各種問題。
現在,我們強烈建議使用者在選擇要下載哪個應用程式時要小心。檢查跟應用程式相關的所有細節 — 開發者名稱、評分、評論 — 可以幫助識別假的應用程式。此外,安裝如趨勢科技行動安全防護、防毒與效能強化精靈的安全應用程式可以偵測假應用程式並防止它們被安裝。
@原文出處:Mobile Certificates and Developer Accounts: Who is Faking It?
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
•
•
•
• ◎ 歡迎加入趨勢科技社群網站
•