行動裝置資安漏洞檢測與企業資料外洩防護
行動裝置的迅速普及,已經對資安防護形成相當程度的挑戰。資策會資安科技研究所檢測技術中心經理洪光鈞指出,企業應該要積極針對行動裝置進行資安檢測,因為不管是手機或APP,其實都有資安漏洞,而因為行動裝置已與生活與工作緊密結合,加上App的運用,讓使用者應用愈來愈方便,許多人開始習慣將機密資料放在手機上,就可能會面臨機敏資料外洩的問題。
此外,如Line及簡訊詐騙的案例層出不窮,實務上也造成許多使用者的金錢損失。事實上,就算使用者小心謹慎,不管是iOS及Android,系統本身的漏洞也可能導致嚴重的資安議題。
洪光鈞指出,行動裝置的安全管理,最底層就是硬體安全。雖然手機本身在出廠前,業者都會進行廠測,但在測試過程中可能會因為疏忽,沒有關掉或移除與廠測有關的軟體,就可能會因此產生資安漏洞,如三星電子(Samsung)就曾發生類似的案例。
系統安全層面的問題,所有的手機作業系統其實都會遭遇,應用程式的安全問題,如行動銀行、遊戲也都有可能會發生。洪光鈞特別指出應用與內容安全的問題,主要是指流程面的資安問題,如App的小額付費功能,就可能會有資安漏洞的疑慮。
洪光鈞表示,就算App本身沒有資安漏洞,但流程還是可能會有問題,如使用者在執行付款動作時,平台業者、電信商或銀行都應該提醒使用者,正在使用小額付費功能,以免使用者在不知情的情況下蒙受損失,事實上,當手機在傳送機敏資訊時,一定要先告知使用者。
至於行動裝置的資安檢測方式,洪光鈞指出,首先要先透過資訊蒐集的方式,了解手機上面有哪些App,再透過App反組譯等方式的靜態分析,以及實際去執行App,看有無惡意問題或執行不當動作的動態分析來檢測,如小米手機會爆發擅自上傳使用者資訊的事件,就是用這種方式可以得知。
在實際的檢測案例方面,洪光鈞指出,由於手機用途愈來愈廣,消保處擔心手機上是否會有損及消費者權益的功能,資安科技研究所特別進行了6個不同類型的檢測,其中有關權限控管不當的檢測結果,就容易造成資料洩漏的問題。
其實對使用者而言,最大的問題是無法發現資安問題,因為有一定程度的專業門檻,洪光鈞指出,使用者只能隨時保持警戒心,盡可能防止資安問題發生,如密碼與重要資料儘量不要記錄在手機上,以免資料遭到惡意人士竊取。
洪光鈞更呼籲使用者,千萬不下載與安裝來路不明的App,一旦手機上的資料缺乏更嚴謹的保護措施,就可能會造成使用者資料外洩的疑慮。事實上,就連應用程式網路加密連線機制,也缺乏更嚴謹的驗證機制。洪光鈞表示,使用者如果是上假冒的網路銀行,而當App也缺乏加密憑證檢查機制時,使用者在使用時可能完全不知情。
行動裝置的資安疑慮,也需要考量多變的應用環境如咖啡廳。此外,電池效能也影響手機的安全性發展,洪光鈞指出,就算防毒軟體成效100%,如果耗電量過大,手機業者還是會放棄使用,兩者必須保持平衡。
洪光鈞建議,行動裝置應用軟體在開發時,應強化資安設計,如識別風險來源,而且一旦有機敏資料正在傳輸中,一定要告知使用者。尤其在現在連軍人都可以帶手機上戰場的時代,員工自行攜帶行動裝置到公司辦公的BYOD趨勢也愈來愈明顯,各個資安機構的報告也顯示,行動裝置正為企業資安管理帶來嚴重的挑戰。
洪光鈞指出,許多企業本來有意推動BYOD,卻因為擔心行動裝置對企業資安管理造成影響,最終因為企業的管理太過於嚴格,而讓BYOD效益大幅減小。因此,員工如果想要在企業使用手機辦公,可能要犧牲一些個人隱私問題,如在發生資安問題時,可能就得針對手機進行證據保全。洪光鈞強調,公私之間當然會有衝突,但雙方總有一方要讓步。
智慧型手機的惡意程式,也是影響行動裝置使用的原因,尤其是在非官方網路商店流竄的山寨版App,更是造成行動裝置資安漏洞的主要因素之一。洪光鈞指出,早在2011年,手機的殭屍網路概念就已然成形,現在更已經有具體案例增加的趨勢。
值得注意的是,甚至有駭客會跟App設計者串通,使用者只要下載及使用App,就會中毒。目前更已有手機在被感染惡意程式時(不管是透過電腦感染或是透過App感染),一旦與電腦連線(如充電或同步),就會自動將電腦的重要資料傳到手機上,再利用手機內建的通訊功能傳送出去,可說是防不勝防。
因此,行動裝置在企業的資安威脅與弱點,必須兼顧機密性、完整性及可用性。但洪光鈞認為,最重要的一點是政策要明確,企業可以透過PDCA的管理思維,針對行動裝置進行資安管理,如透過合規檢查,規定手機可以使用哪些項目,同時透過存取授權,管控手機的使用權限。
除了企業內部的管理,洪光鈞認為,企業對於手機本身,也要有管控能力,如手機遺失時,要有能力鎖定或刪除手機的資料。而對於未來行動裝置管理的技術發展上,將會有越來越多重視多因素登入與生物辨識的解決方案推出,用來協助多變的行動資安問題與威脅。
從設備管理發展到行動化的管理,資訊長愈來愈辛苦,尤其是個資法通過後,更造成企業資安管理的責任,但在行動化趨勢已然成形的今天,企業必須及早針對行動裝置的資安管理進行檢測,才能讓行動力對企業競爭力產生助力,而非阻力。