UCOM 職能補給站

提供您專業技能的最佳管道,IT企業主管唯一推薦

2021年5月6日 星期四

你每天形影不離的手機App安全性夠嗎?手機App程式設計師必看!慎重把關使用者App上的資安問題!


當手機已成為全民生活不可或缺的部分,加上網路與應用端的快速催化,現代人可以隨時隨地透過手機連上網路取得各式各樣的資訊、軟體、音樂、影片等資源,而各類行動應用程式(Mobile Application, App)也應運而生,惟部分程式開發與使用者缺乏資安意識,恐造成用戶資料外洩或財務損失之風險。


2018年行政院消保處抽查市面上十五個熱門App,結果基本資安項目全部未通過,合格率為驚人的「○」!

許多來自不被信任來源的App應用程式可能會包含惡意程式,只要使用者一安裝,該程式便可能會竊取手機中的資料及資訊、在手機上安裝病毒、或是自動下載程式、廣告、發送簡訊等。最討厭的是,當你下載了這些App,它們竟然會藏在你無法發現的地方,就算想刪還刪不掉。這類的App目前居然有130萬的全球用戶正在被使用!

App資安問題層出不窮,沒注意就中獎!

換臉當明星 「去演」 APP藏資安危機

許多人會玩手機變臉的App,最近有一款App,號稱「一秒變大明星」,利用AI技術,可以將你的臉和演員的臉互換,出現在經典的戲劇橋段。不過資安專家就警告,這個軟體掌握了你的臉部特徵,難保不會被拿去做為「深偽」影片的使用,另外,手機必須綁定電子郵件、和允許使用手機照片,這些都很有可能會造成個資外洩。


全球下載10億次!熱門App「茄子快傳」有漏洞 用戶資料恐外洩

根據資料,「茄子快傳」是一款免費提供,可供用戶跨系統分享資料(包括照片、影片、音樂、文件檔案、聯絡人、已下載的軟體等)的應用程式,在全球累計安裝量超過10億次,2019年還成為Google Play最受歡迎的程式之一,倍受用戶喜愛。資安公司趨勢科技在官方部落格發布最新研究報告指出,這款App含有多個安全漏洞,可讓駭客取得用戶的個資,或引發遠端程式攻擊。此外,駭客也可以讓茄子快傳在用戶不知情的情況下執行任意程式,安裝可覆蓋原始檔案的偽裝版App,以便竊取其他應用程式的內容。













快卸載!「免費看Netflix」惡意App 竊500人手機信用卡資料

資安機構 Check Point Research最新報告指出,一款Android 惡意軟體「FlixOnline」在Google Play 商城上架,假冒 Netflix 的下載連結,謊稱可免費觀看 Netflix,下載後恐導致WhatsApp 通訊軟體被駭,信用卡、銀行等金融資料外流。雖然 Google 已經將 App 下架,但2個月來估計已有500人受害。













加拿大航空遭駭,外洩2萬名App用戶個資

加拿大航空(Air Canada)周四以電子郵件通知約2萬名app用戶,由於遭不明人士存取,用戶個資可能外洩。用戶在推特上展示收到的郵件顯示,加拿大航空在今年8月22日到24日之間偵測到該公司的手機app有不尋常的登入行為。加航立即採取封鎖並實施額外措施來防止進一步的非授權存取行為。為安全預防性考量,加航已封鎖了所有手機app帳號以確保用戶資訊。加航估計170萬用戶中的1%,約2萬客戶可能遭到不當存取。








YouBike App密碼更新回傳機制出包,用手機號碼就能竄改他人密碼

臺灣資安漏洞通報平臺HITCON ZeroDay於5月27日揭露,公共自行車租用服務YouBike App要求修改密碼的回傳機制未加密,手機號碼與密碼的數值是明文呈現,而且任何人可以輸入手機號碼,來更改用戶的密碼,並取得該用戶在YouBike的資料。YouBike表示,他們已經在近日完成了修補,「目前沒有任何YouBike用戶受到影響。」大多數網站的用戶送出修改密碼的要求後,網站同時會回傳加密的資料,重複驗證用戶的身分。








社交網站時光機App Timehop驚爆遭駭,2100萬用戶個資外洩

社交網站風險高!提供臉書及推特過去貼文回顧的appTimehop周日公告上周7月4日遭駭傳出重大資安事件,2100萬名用戶個資外洩,而且駭客也曾取得用戶存取臉書、推特、IG等社交網站內容的憑證。根據Timehop公佈的時程,去年12月19日一名駭客使用具有管理員權限的員工帳密登入其雲端供應商網路,建立新的管理員帳戶。接著駭客接連在去年12月、以及今年3月及6月先後登入其雲端服務進行事先環境偵察。隨後在美東時間7月4日當天開始攻擊Timehop的主要資料庫並對外傳輸資料。











政府開始防範App資安問題,成立行動應用資安聯盟

因應各類App應運而生,部分程式開發缺乏資安意識,造成使用者資料外洩或財務損失之風險,政府於105年11月29日正式成立「行動應用資安聯盟」,推動行動應用App相關產業發展,令資安自主檢測機制更加完善,提升國內行動應用App資訊安全。


政府開始積極作為,身為App程式設計師的你

比一般使用者更應該注重App資安問題

行動裝置如iPhone、iPad與Android手機平板的使用特性,惡意使用者常常容易藉著取得裝置本體的存取權或者是網路傳遞時的共用而進行駭客的攻擊,造成使用者莫大的損失,恆逸針對App開發實務中會遇到的資安問題,設計一門App資安課程,防止駭客以保護應用程式中的資料!


《Mobile App Security資訊安全程式實作演練-通訊與資料儲存的安全》

課程分三大階段,從網路傳輸延伸到iOS與Android兩大作業系統,老師帶領實作,為使用者的App安全把關


★網路傳輸與加解密基礎導論

  • OWASP與加解密關係
  • iOS/Android上的加解密支援
  • openssl的加密驗証簽章等實務操作

iOS

  • Keychain安全實作
  • Core Data與SQLite加密
  • Microsoft Live Message帳號驗證
  • Google帳號驗證
  • Facebook驗證

Android

  • Keychain與憑證實作
  • SQLite加密
  • Microsoft Live Message帳號驗證
  • Google帳號驗證
  • Facebook驗證

更完整詳細課程介紹


《智慧型手機APP資安分析

  • 智慧型手機APP的安全問題及目前國際間的分析作法
  • iOS平台 APP分析基本環境架設
  • iOS平台 APP程式反組譯及相關靜態分析
  • Android 平台APP分析基本環境架設
  • Android 平台APP程式反組譯及相關靜態分析
  • Android平台 APP 虛擬平台及Sandbox分析
  • 智慧型手機APP網路封包Man-in-the-middle解密分析

更完整詳細課程介紹

未來,迎接5G與全數位時代的到來,要保障行動運用App的安全與可靠,是確保未來智慧化願景能夠達成的重中之重。能兼顧提供安全、可信任及具韌性的資安檢測機制,才能因應從封閉走向全新開放架構、實現全數位社會所帶來的便利與挑戰!



, , 0

0 意見:

張貼留言