智慧應用 影音

Android資安風險的解決之道

  • DIGITIMES企劃

在各式各樣的行動裝置中,Android終端裝置由於採用ARM平台,具有省電、發熱量低、重量較輕等優勢,加上採用開放原始碼架構,讓軟硬體開發者可以自行修改以,以符合需求,搭配目前已經相當成熟的雲端服務,提供相當完整的應用服務及軟體擴充性,不但已是目前行動市場當紅的產品,也成為企業行動解決方案的關鍵裝置。

但交通大學網路測試中心資訊安全測試部門經理王阜毓指出,Android裝置大量普及的影響力,加上平台的開放性,讓任意使用者可以取得SDK開發Android app,並登錄成為開發者,將app上傳至Android Market,也造成愈來愈多的惡意程式,以Android裝置為攻擊的目標。

交通大學網路測試中心資訊安全測試部門經理 王阜毓

王阜毓指出,從2010年開始,已經有3批軟體被Google下架,第3批甚至是冒充知名防毒軟體,可說是防不勝防。此外,使用者的不當習慣,如很多人跑完Android軟體後,不會完全退出,導致惡意程式可以將資料不斷的送出,讓行動資安問題變得更加嚴重。

一般而言,惡意程式的主要意圖,包括洩漏用戶隱私資料,包括用戶位置資訊、信用卡資料、照片等;其次則是控制用戶電腦,以作為入侵或入侵其他電腦的跳板;最後則是謀取利益,如在用戶不知情下,傳送付費簡訊、撥打色情電話等,讓用戶付出鉅額通訊費用。

王阜毓進一步分析各種Android惡意程式的行為模式,可說是包羅萬象。如「愛蕉友」會將用戶手機的IMEI碼、手機型號、硬體規格、使用者權限等資訊,傳到位於中國大陸江蘇省檳江的Server端,讓駭客知道可以取得哪些資料,甚至還會偷偷儲存及傳送用戶撥打電話的通聯紀錄,如果使用者的身分很重要(如CEO),就可能造成嚴重後果。

而另一個Android程式-QQ斗地主,則是會在執行後,自行安裝另外一個apk檔案。王阜毓表示,這個軟體應該只是一個遊戲,卻額外做了不必要的行為,一般使用者卻難以察覺。

所幸目前Android上已有十多套防毒軟體,王阜毓建議用戶,除了一定要安裝防毒軟體外,更重要的是要避免安裝來路不明的軟體,必要時還應該要在導入新軟體應用前,將新軟體送交專業單位審驗分析,確定安全無虞再進行安裝。

王阜毓指出,企業導入智慧型行動裝置,固然可以有效克服管理複雜度過高、資訊不同步及資源浪費等問題,尤其是配合雲端服務,可以提升企業效率,但同時也會提升資料外洩風險,因此一定要配合有效的資安解決方案及管控策略,才能讓企業在低風險的狀態下,提升競爭力。