應用程式 - 資安趨勢部落格

每一次下載應用程式前先主動搜尋資料再按下「接受」。忽略像檢查權限或應用程式所需資料等事情都可能產生嚴重的後果。

從Uber未經同追蹤乘客位置遭罰2萬美金,談行動應用程式的隱私問題

經過14個月對2014年資料外流（包括超過5萬名現任和前任司機的姓名和駕照號碼）事件的調查，Uber（優步）最近要在紐約繳出2萬美元的罰款。這款應用程式背後市值數十億美元的新創公司也因為被發現該應用程式可以在未經同意下追蹤乘客位置而飽受批評。

「我們致力於保護消費者隱私及紐約州任何產品的客戶，包括公司在此地的員工。我強烈建議所有的科技公司定期檢討和改進自己的政策和程序來更好地保護自己客戶和員工的私人資料，」紐約州檢察長Scheiderman指出。「這協議保護Uber（優步）乘客的個人資料不被公司高層或員工濫用，包括乘客在Uber（優步）車輛內的即時定位。」

除了因為沒有披露2014年9月的資料外洩事件給相關團體及檢察長辦公室而遭受罰款外，這協議還強制要求改善及加強有爭議的資料隱私和安全措施。根據協議，Uber（優步）強制要「加密乘客定位資訊，任何員工要存取特別敏感乘客個人資料前要採用多因子認證，還有其他先進的資料安全做法。」

大約在2014年11月開始被探究的同時，Uber（優步）發言人Natalia Montalvo在備忘錄中指出，「我們的業務仰賴數百萬使用Uber（優步）乘客和司機的信任。我們乘客的乘車紀錄是重要的資料，我們知道必須認真且尊重地對待，保護它免於未經授權的存取。」這段話是因為其「非法」存在的「天眼系統」爭議，這是一個會收集和顯示消費者個人資料的追蹤系統。

你下載，他們收集：行動應用程式的隱私問題

Uber（優步）從2010年出現開始就一路突飛猛進到現在，該應用程式已經涵蓋了60個國家，超過300個城市，有800萬人下載和使用。該公司估計每天有一百萬次乘客透過該應用程式叫車。特別的是，在早些時候，有報導指出舊金山最大的計程車公司 – Yellow Cab Co-Op因為來自高科技產業對手如Uber（優步）和Lyft強大的挑戰而面臨申請破產邊緣。隨著應用程式涵蓋範圍增加及快速的成長，類似資料隱私等問題也開始成為重大的問題。繼續閱讀

《小廣與小明的資安大小事》美女播報氣象 app,讓人冒冷汗?

2015 年 09 月 30 日2015 年 09 月 30 日趨勢科技 TrendMicro

有沒有提供過多的資訊給應用程式？

在智慧型手機上安裝應用程式時，是否有確認允許應用程式取得哪些權限？或許你正在安裝的應用程式，是打算竊取智慧型手機內的個人資料或聯絡人資料的非法應用程式。事實上，分辨非法應用程式的提示就在允許應用程式取得權限的清單畫面中。繼續閱讀

行動憑證和開發者帳號：誰是假冒的？

2015 年 06 月 17 日2015 年 06 月 17 日趨勢科技 TrendMicro

如果企業繼續忽視他們在應用程式商店上的情況，就可能有失去客戶的風險。隨著惡意行動軟體持續成長，（Google Play上前 50 的免費應用程式,近 80％是山寨版! 恐引發個資外洩、手機中毒及金錢損失）公司和開發者還遭遇另一個來自山寨版的挑戰。

對於需要在Google Play上推出官方行動應用程式的公司來說，假應用程式可能會對信譽和營收都帶來麻煩。對使用者來說，也有類似的影響，只是較為個人。如果使用者被騙去下載這些應用程式，最終可能會導致資訊被竊、名譽受損以及對公司整體品牌和服務的不滿。

在Google Play這樣的應用程式商店上推出官方應用程式的公司對於減少使用者安裝假應用程式的風險上扮演了重要的角色。通過適當建立自己的身份和應用程式，他們可以很好地幫助使用者分辨那些是正牌應用程式，哪些是假冒的版本。例如：理想狀況下，所有的應用程式都該由同一名開發者發布，像是下列的各種趨勢科技應用程式：

圖1、Google Play上的趨勢科技程式

然而，我們也注意到有些組織並沒有做到這一點。相反地，出現多個開發者在發佈各種版本的官方應用程式。

圖2、各種銀行應用程式有著不同的開發者

為什麼會這樣？Android要求所有的應用程式都要簽章過（即使只是自我簽章）。當然，大型組織會有不同團隊負責開發不同的應用程式。可能會用不同的私鑰來來簽章開發的應用程式，即使它們會被整合在一個帳號下。此外，可能用不同帳號來上傳應用程式，即使它們全都是同一家公司。繼續閱讀

< App /應用程式 > 廣告和廣告軟體間的模糊地帶：檢視廣告軟體 MDash SDK

2015 年 05 月 08 日2015 年 04 月 30 日趨勢科技 TrendMicro

有報導指出Google從Play商店上移除了三個應用程式(Google removed three apps) ，因為發現它們是由廣告軟體所偽裝。根據應用程式商店的資料，這些應用程式在發現時已經被下載到數百萬台的設備上。然而，這些並非唯一擁有類似行為的應用程式。在三月初的調查時，趨勢科技的研究人員認為Google Play上有超過2,000個應用程式有類似的行為。不過，這個數字已經減少到數百或以下。

廣告軟體 MDash

這個廣告軟體被偵測為ANDROIDOS_ADMDASH.HRX，是整合到那些應用程式的SDK（軟體開發套件）。雖然它有時也被稱為「MobiDash」，不過我們在本文中將此廣告軟體稱為「MDash」。令人費解的是，我們的研究沒有真正發現關於此SDK的可用資訊。極有可能此SDK是在私底下發表，這跟知名廣告軟體商有著鮮明的對比，後者經常會公開發布並促使應用程式整合其SDK以賺取更多錢。

如果SDK是在私底下發表，那它是如何到達應用程式開發者手上？很有可能是因為它是發表在地下論壇。

檢視MDash程式碼

為了分析MDash，我們選擇一個應用程式，套件為com.zigzag.tvojdekor。這是一個俄羅斯的應用程式，已經從Google Play的生活時尚類別移除。趨勢科技檢查此應用程式後發現，廣告軟體SDK MDash被精心開發和良好地維護著。