近期接連傳出許多Android或iOS應用程式使用遭感染的SDK(軟體開發套件),使得惡意程式直接內建在App中,不僅用戶行動裝置中的各種資料可能遭到竊取,甚至有更進一步的攻擊出現(如下表)。為免有問題的App上架後影響商譽,開發人員應透過App資安檢測進一步強化App開發過程的安全。
根據趨勢科技調查指出,行動惡意程式的數量已從2014年的426萬成長到2015上半年的710萬。以Android 惡意程式來說,50%是有害程式(PUA),越權的廣告程式則佔了27%,今年2月就有一波內含MDash廣告SDK的應用程式讓數百萬台裝置感染越權廣告程式,可偷偷搜集使用者資訊並回傳遠端伺服器。且下表也顯示近期有兩家中國行動平台廣告公司的SDK出現此類問題。
經濟部工業局今年8月推出「行動應用App基本資安規範」,其App基本資安檢測基準v1.0版(註)包含應用程式發布安全、敏感資料保護、付費資源控管安全、身分認證、程式碼安全等五大檢測面向。計畫執行單位資策會資安所規劃師徐櫻真指出,按此基準進行檢測可確保App有關資安作業的處理,做到基本防護與提示,有機會可以檢測出由SDK或重新封包等做法植入正常App的惡意程式,但在條件式啟動下的惡意程式行為被檢測到的機率就較低。
戴夫寇爾執行長翁浩正指出,App資安檢測基準是看App是否通過表列的檢測條目,有些進一步的惡意程式行為如SDK被包裝後把個資加密傳出等,就無法被檢測出。此外,此檢測基準只檢測App,無法檢測到伺服器端,無法發現是否有其他問題。
徐櫻真表示,開源碼的SDK非常多且許多開發人員或軟體商常使用此類SDK來開發商品,建議可透過App基本資安檢測基準來檢測App是否有異常。檢測基準預計今年底將增加檢測項目推出更新版。
總括來說,開發人員要避免App所使用的SDK遭到感染進而散佈惡意程式,首先是要到官網下載使用,避免來路不明的下載來源。接著透過App檢測基準可檢測具備基本安全防護,若是重要的App或交易性質的App建議仍應進行App滲透測試以確保安全。
註:詳見http://www.communications.org.tw/news/policy/item/8743-0814.html