手機 - 資安趨勢部落格

一個好的 App 程式該具備什麼？

2014 年 10 月 23 日2014 年 10 月 23 日趨勢科技 TrendMicro

一個好的 App 程式該具備什麼？以下是程式開發人員在釋出程式之前應該注意的一些事項。

程式的特色和功能是否如文宣上所言？
程式是否消耗過多的電力？
程式是否提供滿足廣大使用者需求的功能或內容？
程式的介面是否友善？
程式是否通過品質檢驗，確定沒有需要修正的漏洞或軟體錯誤？
程式要求的權限是否恰當？

《 IoT 物聯網安全趨勢》行動安全和物聯網：智慧型手機成為遠端控制中心的問題

2014 年 08 月 26 日2016 年 01 月 25 日趨勢科技 TrendMicro

你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

自從手機熱潮開始，智慧型手機已經成為我們生活中不可或缺的一部分，它們也是今日快節奏的世界裡不可缺少的東西。它們可以幫我們無時無刻地連結到我們的朋友和家人，也讓我們可以點一點螢幕就完成我們的日常工作。我們和智慧型手機已經形成如此牢固的關係，也讓網路犯罪份子將其納入他們獲取金錢的攻擊目標。無論是好是壞，智慧型手機已經成為我們日常生活必備工具的重要部分。

隨著改變之風吹起，智慧型手機似乎會成為我們生活中更重要的一部分，而這和物聯網有關。當iOS 8推出時，Apple同時介紹了HomeKit，這是一個可以幫助使用者在家裡管理第三方物聯網設備的應用程式服務。有了HomeKit，使用者可以將安裝在一個房間裡的設備都群組起來，對每個房間群組都設定唯一的參數/控制。這讓使用者可以方便地修改設定，不管是房間到房間或更加細微的設定。在本文撰寫時，Google還沒有提供對應的產品，但我們在未來的日子裡一定會看到。

隨著這樣的發展，我們已經可以預期它會成為下一件大事情，不管是因為其所帶來的整體方便性或是酷的程度。從這電子玩意來控制家中幾乎所有的東西時，什麼是最便利的，和老實說 – 最令人興奮的部分？像是你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

但這只是硬幣的一面。另一面，不幸的，將智慧型手機加入到你的自動化住家生態系統可能不是最安全的決定。因為該平台有許多安全隱憂 – 我們已經在這部落格討論了不少 – 可能會帶到你家中具備物聯網功能的設備，進而讓你容易受到網路犯罪攻擊。網路犯罪份子駭入你的手機來替你訂閱加值服務？已經有了。網路犯罪份子透過你的手機駭入你的保安系統，將其關閉好讓他們可以搶你？這很有可能發生！

物聯網（IoT ,Internet of Things）是這網路時代所出現技術裡最令人興奮的概念之一。帶領著我們一步步地接近未來世界的住家，大多數（如果不是全部）家電不僅可以連到網路上，也可以透過一中央控制中心來實現全面的控制和自動化，無論我們身在哪裡（或至少，只要我們可以連網。）

然而，不管如何令人興奮，我們還是要小心地進行。因為大多數應用在這新時代的技術仍是基於目前的行動設備技術（智慧型電視、智慧型家電等），有可能遭受和今日行動設備相同的安全問題。

還有一個事實就是，行動設備（尤其是智慧型手機）可能很快就會成為我們住家的「中央控制中心」，因為我們用它來管理我們所有的家電和保全系統。Google和Apple已經開始在各自的行動平台上制定住家自動化管理應用程式。比方說，最近所推出的iOS8 Homekit，宣稱可以完全控制住家和內部所有的網路設備，而且可以讓使用者輕易地根據所在房間來群組設備。

那麼想想看，這對物聯網（IoT ,Internet of Things）會有什麼潛在風險。它讓網路犯罪份子駭入別人的智慧型手機進而進入別人家中不再只是科幻幻想，而是可能發生的現實場景。行動設備已經趕上了個人電腦，成為最被針對的平台。所以毫無疑問的，網路犯罪份子會找到方法來開發此新領域的財路。

可能出現的風險

使用智慧型手機作為自動化住家的中央遙控器意味著這平台內的所有安全威脅都可能會影響到住家。下面是這些威脅例子和它們會如何影響到自動化的住家：

作業系統漏洞 – 網路犯罪分子可以利用智慧型手機作業系統底層的漏洞來控制智慧型手機，進而可以控制自動化住家，像是關閉保全系統，甚至監視家人活動來進而勒索或資料竊取。
應用程式漏洞 – 應用程式漏洞可被利用來取得收發的資料以達到竊取或勒索的目的。甚至可以再次用來控制整個控制中心，或防止惡意軟體被偵測或移除。
行動惡意軟體 – 手機惡意軟體可以用來攔截或竊取來自控制中心和與其連接設備的資料或透過遠端惡意攻擊來取得控制中心的控制權。它也可能會感染帶有螢幕的電器使其出現廣告軟體或惱人的彈出視窗。
高風險應用程式 – 這應用程式不一定是惡意軟體，但被編寫來收集和儲存資料，可能會被不安全的使用。可以被利用來竊取導致滲透家中網路的資料。
實體遺失/被竊/破壞 – 智慧型手機（也就是控制中心）的遺失/被竊/破壞不僅會讓使用者無法進入自己的家或開啓/關閉必要的系統，也讓網路犯罪分子能夠非法進入他家。這問題的嚴重性不僅在於控制中心的安全性，還包括整個房子。控制中心被破壞也意味著要重新佈線和將一切設定回原狀，這都要花費寶貴的時間和資源。
不安全的連線 – 管理連接系統的專有應用程式和控制中心可能不會使用加密來保護他們在網路上收發的資訊。這可能會導致資料外洩或被竊取。儲存在智慧型手機本身的資料也可能被偷走。

我們可以從這些潛在威脅看出用來作為自動化住家遠端控制中心的智慧型手機如果被駭，後果有多可怕。不僅會讓不法份子有可能控制你的住家和設備，也可能竊取資料。

一個情境例子：使用者在上班，遠離了他的自動化住家，將他Android作業系統的智慧型手機註冊和安裝為控制中心。使用者不知道的是，網路犯罪份子已經透過漏洞入侵了他的智慧型手機 – 可能是因為從第三方網站替他最愛的遊戲下載一個「正常的更新程式」。這更新將惡意程式碼插入原本正常的遊戲程式，有效地將其木馬化，但仍然讓它保留正常使用狀態。繼續閱讀

Evernote 出現Android應用程式漏洞

2014 年 08 月 04 日2014 年 08 月 27 日趨勢科技 TrendMicro

趨勢科技之前討論過一個可能導致使用者資料被截取或用來發動攻擊的Android漏洞。我們發現相當普及的Evernote Android應用程式包含了此漏洞。趨勢科技披露了細節給Evernote，他們也採取了行動，釋出他們Android應用程式的更新版本。Evernote在Evernote for Android 5.8.5中增加額外的控制來保護使用者資料。使用版本低於5.8.5的Android使用者應該要更新到最新版本。

內容提供者（Content Provider）漏洞

被修補的漏洞跟儲存應用程式資料的Android元件有關。該元件有一屬性（android:exported）可以讓其他應用程式對受影響應用程式讀取或寫入特定的資料。

之前版本的Evernote定義了兩個權限來保護用來儲存幾乎所有使用者資料的內容提供者。然而，這兩個權限的保護層級被設為「正常」，意味著設備上的其他應用程式也可以被授予這兩個權限。

圖1、Evernote內容樣本

圖2、利用內容提供者漏洞所顯示的內容

網路犯罪分子可能會建立惡意應用程式用來截取儲存在Evernote應用程式的資料。對於使用Evernote儲存敏感資料（使用者帳號和密碼）的使用者來說，這可能會導致資料被竊或身份詐騙等後果。

外露、未加密的資料

除了上面所介紹的漏洞外，我們也發現另一漏洞可能會讓惡意應用程式看到儲存記事的受影響設備上的所有記事。

Evernote應用程式將所有使用者的記事儲存在外部儲存裝置的/sdcard/Android/data/con.evernote/files/資料夾內。不幸的是，儲存在該資料夾的檔案並沒有加密，而且可以被其他應用程式讀取。

圖3、記事樣本

圖4、利用SD卡漏洞來存取記事

受影響設備的Android作業系統版本也會影響應用程式所能存取的數量。在Android 4.3及更早版本中，應用程式甚至不需要特殊權限就可以存取該資料夾。在Android 4.4及更高版本中，需要READ_EXTERNAL_STORAGE權限。不過該權限對於一般應用程式來說很常見，所以惡意應用程式請求該權限不會引起懷疑。

惡意使用者可以寫一段簡單的程式碼用來讀/寫上述應用程式所儲存的檔案，然後注入具有READ_EXTERNAL_STORAGE權限的重新包裝應用程式。然後，攻擊者可以利用這重新包裝的應用程式來誘騙使用者給予所要的權限。

我們揭露此一資訊好讓可能同樣不正確使用外部儲存裝置的開發者可以修改他們的應用程式。開發者也要將他們的權限設定在簽章層級以保護其重要元件。我們也建議開發者對於應用程式所建立、處理和傳輸的任何內容都進行加密。可以的話，任何敏感資料都不該儲存在外部儲存裝置。

趨勢科技已經通知Evernote此一新漏洞。我們目前還沒有看到針對此漏洞的攻擊出現。

@原文出處：Evernote Patches Vulnerability in Android App作者：Weichao Sun（行動威脅分析師）