手机安全面临的十大基本挑战.pdfVIP

GSS 資安電子報 第 0100 期 / 發刊日期：2014 年 2 月 手機安全面臨的十大基本挑戰 資料來源 ：Checkmarx Blog, 由InfoSec Institute 研究員 Rohit T 提供 翻譯整理 ：叡揚資訊 資訊安全事業處 行動裝置的安全已成為保護機敏資料的重要議題，原本專注於電腦的惡意軟體攻擊已移轉到手機及 應用程式上，手機製造商已經意識到這個問題的嚴重性，所以增加資安上面的投資。 手持設備攻擊主要可分為4 大類： 1. 作業系統攻擊(OS Attacks) 作業系統的漏洞容易產生遭受攻擊的弱點，供應 商試著以修補程式解決這些問題。 2. 手機應用系統攻擊(Mobile App Attacks) 設計不良的程式碼和開發不當的系統將造成漏 洞，危及安全。 3. 通訊網路攻擊(Communication Network Attacks) 像藍牙和無限網路的連線易產生設備遭受攻擊的 弱點。 4. 惡意軟體攻擊(Malware Attacks) 行動裝置上的惡意軟體不斷增加。主要都是刪除 檔案和製造混亂。 下列這些類別，歸類出不同種類的攻擊，我們可以更清楚地看看手機上 流傳的惡意軟體的各類問題。這不是一個窮舉的清單，但可以幫助我們 了解行動設備所遭遇風險的嚴重性。 1 – 實體安全 (Physical Security) Lookout 實驗室估計2011 年，在美國，民眾每3.5 秒就會遺失一隻手機，且撿到遺失設備的人幾乎都 會嘗試去取得手機上的資訊。當然我希望做這個＂取得＂資訊這動作的人，是嘗試知道失主是誰，但 誰知道呢? 如果沒有妥善的收藏好手機, 即使只是短暫的離開視線或遺失, 也會使重要的資料有外流 的風險。 台北總公司：10461 台北市中山區德惠街 9 號 5 樓 TEL ︰(02) 2586-7890 FAX ：(02) 2586-8787 高雄辦公室︰80453 高雄市明華路 317 號 6 樓 TEL ︰(07) 586-6195 海外據點：上海、北京 營業範圍：兩岸三地及日本 .tw 1 GSS 資安電子報 第 0100 期 / 發刊日期：2014 年 2 月 2 – 多使用者登入 (Multiple User Logging) 手機使用也存在一段時間，但功能依然不如電腦般多樣化。多個使用者依然無法在同一台手持設備上， 受到個人帳號的保護。簡單來說，只要取得手持設備，就可以得知行動設備擁有者的使用習慣等資訊， 雖然有第三方的保護軟體，但最安全的作法還是不要將手機借出。 3 – 安全資料儲存 (Secure Data Storage) 手機需要好的加密機制加強安全。畢竟誰想要將企業敏感的資料，落入他人之手? 如果沒有適當的加 密，不僅個人資料任何人都可取得，其至連銀行的密碼、信用卡、商業應用程序都可以取得。加密敏 感資料，確保小偷僅能取得一堆無法辨識內容的資料。 4 – 手機瀏覽 (Mobile Browsing) 手機的一個最好的功能是可以隨時隨地連上網路，但也讓手機曝露於風險下。主要問題在於使用者無 法完整地看到整串的URL 或連結，也就無法辨識這個URL 或連結是否安全，這樣使用者就很容易瀏 覽到釣魚網頁。如果想要更進一步了解行種裝置安全，請參考InfoSec Institute iPhone 課程。 5 – 應用程式隔離 (Application Isolation) 手機應用程式的應用類型很廣泛，從社交網路到銀行。在安裝任何手機應用程式時，請務必詳閱應用 程式存取權限的要求。通常大家都會忽視安裝協議，包含關於如何讓應用程式存取設備的特定權限設 定。要留意安裝的應用程式聲稱可做到什麼以及實際上能做什麼事。像是計算機應用程式不需要存取 到網路或個人訊息。 6 – 系統更新(System Updates) 大家習慣將資安的問題怪罪在手機製造商身上，但也不能全怪他們。更新和修補程式是設計於修補行 動設備的問題，但並不像電腦更新般單純。很多時候手機製造商釋放出更新軟體，但電信公司卻因為 商業或行政因素未將這些更新釋出。 台北總公司：10461 台北市中山區德惠街 9 號 5 樓 TEL ︰(02) 2586-7890 FAX ：(02) 2586-8787