Android資安風險的解決之道

在各式各樣的行動裝置中，Android終端裝置由於採用ARM平台，具有省電、發熱量低、重量較輕等優勢，加上採用開放原始碼架構，讓軟硬體開發者可以自行修改以，以符合需求，搭配目前已經相當成熟的雲端服務，提供相當完整的應用服務及軟體擴充性，不但已是目前行動市場當紅的產品，也成為企業行動解決方案的關鍵裝置。

但交通大學網路測試中心資訊安全測試部門經理王阜毓指出，Android裝置大量普及的影響力，加上平台的開放性，讓任意使用者可以取得SDK開發Android app，並登錄成為開發者，將app上傳至Android Market，也造成愈來愈多的惡意程式，以Android裝置為攻擊的目標。

王阜毓指出，從2010年開始，已經有3批軟體被Google下架，第3批甚至是冒充知名防毒軟體，可說是防不勝防。此外，使用者的不當習慣，如很多人跑完Android軟體後，不會完全退出，導致惡意程式可以將資料不斷的送出，讓行動資安問題變得更加嚴重。

一般而言，惡意程式的主要意圖，包括洩漏用戶隱私資料，包括用戶位置資訊、信用卡資料、照片等；其次則是控制用戶電腦，以作為入侵或入侵其他電腦的跳板；最後則是謀取利益，如在用戶不知情下，傳送付費簡訊、撥打色情電話等，讓用戶付出鉅額通訊費用。

王阜毓進一步分析各種Android惡意程式的行為模式，可說是包羅萬象。如「愛蕉友」會將用戶手機的IMEI碼、手機型號、硬體規格、使用者權限等資訊，傳到位於中國大陸江蘇省檳江的Server端，讓駭客知道可以取得哪些資料，甚至還會偷偷儲存及傳送用戶撥打電話的通聯紀錄，如果使用者的身分很重要(如CEO)，就可能造成嚴重後果。

而另一個Android程式－QQ斗地主，則是會在執行後，自行安裝另外一個apk檔案。王阜毓表示，這個軟體應該只是一個遊戲，卻額外做了不必要的行為，一般使用者卻難以察覺。

所幸目前Android上已有十多套防毒軟體，王阜毓建議用戶，除了一定要安裝防毒軟體外，更重要的是要避免安裝來路不明的軟體，必要時還應該要在導入新軟體應用前，將新軟體送交專業單位審驗分析，確定安全無虞再進行安裝。

王阜毓指出，企業導入智慧型行動裝置，固然可以有效克服管理複雜度過高、資訊不同步及資源浪費等問題，尤其是配合雲端服務，可以提升企業效率，但同時也會提升資料外洩風險，因此一定要配合有效的資安解決方案及管控策略，才能讓企業在低風險的狀態下，提升競爭力。