封面故事-＜資安小提醒＞如何安心下載手機APP ？

:::

封面故事-＜資安小提醒＞如何安心下載手機APP ？

7月號 2020 Jul

文／資訊處

行動裝置日益普及，帶動APP產業的蓬勃發展，APP商店充斥著各式各樣讓人心動的APP，如通訊、追劇、玩遊戲、網路銀行等各類型的應用程式，這些實用、好玩的APP可以豐富我們的人生，但在下載APP之前，應具備資安防護意識，避免成為駭客入侵的對象。

使用APP可能有哪些危害

很多APP都有過度授權的問題，例如：臉書被檢舉非法使用「麥克風」權限，監聽手機旁的音訊資料，並進行相關廣告投放；Youtube被抗議需要「簡訊」權限，如果讓APP取得簡訊權限，等同開放APP存取私人通訊，甚至是刷卡的一次性密碼，不可不慎。臉書與Google之後都承認確有此事，也才因此控管不必要權限。

除了過度授權的問題，手機如果安裝惡意APP，還有可能遭受以下駭客攻擊：

1. 社交工程：顯示彈跳式假廣告，誘導用戶至假冒網站進行釣魚詐騙。

2. 挖礦程式：在背後偷偷執行虛擬加密貨幣挖礦程式，消耗手機的運算資源與電力。

3. 木馬程式：竊取用戶帳戶登入憑證，進而盜取存款。

4. 勒索軟體：惡意鎖定手機螢幕與檔案加密。

防範作為

為了防範安裝非法應用程式，建議安裝之前應注意以下事項：

1. 合法的安裝管道：Android系統請開啟Play安全防護設定（如圖1），並從官方「Play商店」下載APP；iOS系統不使用「越獄」服務，請至官方App Store下載。另外駭客還有可能將APP偽裝並上架官方應用程式商店，因此建議還要確認APP及開發商的評價。

2. 合法的防毒軟體：手機應安裝知名防毒廠商的防毒APP，例如趨勢科技、AVG、諾頓等（如圖2）。惟防毒APP不是安裝越多越好，如果隨意安裝來路不明的防毒APP，不僅無法有效偵測手機內的惡意程式，有些防毒APP甚至本身就是偽裝的木馬程式，不知情的用戶一旦下載了，反而讓駭客有機可乘。

3. 確認授權範圍：APP上架並無法規強制規範，僅仰賴官方應用程式商店的審核，APP開發商往往等到被檢舉後才開始檢討授權的合理性，因此我們必須自身建立好的使用習慣，確認手機授權與APP功能是否有關連，避免權限開太大成資安漏洞。

4. 安裝通過驗證：經濟部工業局訂定APP的基本資安規範，提供給APP開發商參考，包括APP發布安全、安全敏感性資料保護、交易管理安全、使用者身分鑑別、程式碼安全，通過檢測的APP會在「行動應用資安聯盟」公布APP名稱與版本。目前以輔導取代立法強制性的方式，鼓勵APP開發商自主檢測，通過檢測的APP名單大多是政府機關、銀行、電商業者等。

使用手機APP雖然讓我們的生活多采多姿，但手機的普及已吸引許多駭客的目光，我們在使用APP時應該要有危機意識，抱持隨時可能遭駭客入侵的想法，確實做好資安防護與重要資料備份的工作。

在下載APP之前，應具備資安防護意識，避免成為駭客入侵的對象。

封面故事-＜資安小提醒＞如何安心下載手機APP ？

編輯室報告

封面故事

專題報導

糖情outlook

專欄

資訊補給站

繽紛生活