跳到主要內容區塊
7月號 2020 Jul
封面故事-<資安小提醒>如何安心下載手機APP ?
文/資訊處
 
行動裝置日益普及,帶動APP產業的蓬勃發展,APP商店充斥著各式各樣讓人心動的APP,如通訊、追劇、玩遊戲、網路銀行等各類型的應用程式,這些實用、好玩的APP可以豐富我們的人生,但在下載APP之前,應具備資安防護意識,避免成為駭客入侵的對象。
 
使用APP可能有哪些危害
很多APP都有過度授權的問題,例如:臉書被檢舉非法使用「麥克風」權限,監聽手機旁的音訊資料,並進行相關廣告投放;Youtube被抗議需要「簡訊」權限,如果讓APP取得簡訊權限,等同開放APP存取私人通訊,甚至是刷卡的一次性密碼,不可不慎。臉書與Google之後都承認確有此事,也才因此控管不必要權限。
除了過度授權的問題,手機如果安裝惡意APP,還有可能遭受以下駭客攻擊:
    1. 社交工程:顯示彈跳式假廣告,誘導用戶至假冒網站進行釣魚詐騙。
    2. 挖礦程式:在背後偷偷執行虛擬加密貨幣挖礦程式,消耗手機的運算資源與電力。
    3. 木馬程式:竊取用戶帳戶登入憑證,進而盜取存款。
    4. 勒索軟體:惡意鎖定手機螢幕與檔案加密。
 
防範作為
為了防範安裝非法應用程式,建議安裝之前應注意以下事項:
    1. 合法的安裝管道:Android系統請開啟Play安全防護設定(如圖1),並從官方「Play商店」下載APP;iOS系統不使用「越獄」服務,請至官方App Store下載。另外駭客還有可能將APP偽裝並上架官方應用程式商店,因此建議還要確認APP及開發商的評價。
    2. 合法的防毒軟體:手機應安裝知名防毒廠商的防毒APP,例如趨勢科技、AVG、諾頓等(如圖2)。惟防毒APP不是安裝越多越好,如果隨意安裝來路不明的防毒APP,不僅無法有效偵測手機內的惡意程式,有些防毒APP甚至本身就是偽裝的木馬程式,不知情的用戶一旦下載了,反而讓駭客有機可乘。
    3. 確認授權範圍:APP上架並無法規強制規範,僅仰賴官方應用程式商店的審核,APP開發商往往等到被檢舉後才開始檢討授權的合理性,因此我們必須自身建立好的使用習慣,確認手機授權與APP功能是否有關連,避免權限開太大成資安漏洞。
    4. 安裝通過驗證:經濟部工業局訂定APP的基本資安規範,提供給APP開發商參考,包括APP發布安全、安全敏感性資料保護、交易管理安全、使用者身分鑑別、程式碼安全,通過檢測的APP會在「行動應用資安聯盟」公布APP名稱與版本。目前以輔導取代立法強制性的方式,鼓勵APP開發商自主檢測,通過檢測的APP名單大多是政府機關、銀行、電商業者等。
使用手機APP雖然讓我們的生活多采多姿,但手機的普及已吸引許多駭客的目光,我們在使用APP時應該要有危機意識,抱持隨時可能遭駭客入侵的想法,確實做好資安防護與重要資料備份的工作。


在下載APP之前,應具備資安防護意識,避免成為駭客入侵的對象。

 
編輯室報告
封面故事
專題報導
糖情outlook
專欄
資訊補給站
繽紛生活
  • 買東西
  • 找據點
  • 會員區
  • 住台糖
  • 更多社群分享