藉由自動化檢測系統 協助消弭App安全漏洞

清華大學資訊工程學系教授孫宏民。

清華大學資訊工程學系教授孫宏民表示，因有利可圖，近年愈來愈多駭客瞄準行動網銀、行動支付或虛擬貨幣交易所展開攻擊，猶如一群具專業知識的高端銀行搶匪。

深究駭客之所以屢屢得手，癥結在於App存在漏洞所致。例如2010年，韓國農協銀行網銀App遭駭事件，起因於歹徒透過第三方程式網站提供惡意更新程式供人下載，而此程式係利用Android的Master Key漏洞，在App內插入惡意檔案，成功將之「木馬化」。

孫宏民指出，綜觀駭客慣用的攻擊模式，多是經由反組譯、分析程式碼、插入惡意碼、重新打包等4個步驟，從而導致用戶個資外洩，甚至造成嚴重的財產損失。惟要想防制這般攻擊十分不易，只因一般中小企業無力購置昂貴的源碼檢測工具，加上人工檢測耗時費工，若無安全漏洞資料庫做為樣本，檢測的準確率不無問題。

此時企業亟需引用成本合理、準確度高的App漏洞檢測服務。著眼於此，由孫宏民帶領的資安實驗室，幾年前開發「行動裝置App安全漏洞的高效率智慧偵測系統」，透過逆向工程來確認漏洞，一天可檢測多達1萬支App的安全漏洞，除界定App安全等級外，並能提供漏洞修補建議。