行动装置资安防护参考指引-行政院国家资通安全会报技术服务中心.PDFVIP

【內部使用】 文件編號：ICST-C-011 101年度 雲端資安防護整合服務委外服務案 行動裝置資安防護 參考指引 (V1.0) 執行單位 ：財團法人資訊工業策進會 中華民國 101年12月 報告摘要 報告名稱 行動裝置資安防護 參考指引 資訊等級 機密 密 內部使用 普通 相關撰稿人 吳明蔚 、江衍勳、林子群 閱讀對象 一般主管 資安人員 資訊人員 一般使用者 內容摘要： 行動裝置資安防護 參考指引( 以下簡稱本指引旨在) 探討當前熱門行動裝置平 台的資安設計， 進而檢視當前行動裝置使用者應正視的資安問題，並建議適 當的防護措施 。由於行動裝置的種類眾多，本指引將聚焦於以 iOS 與Android 為作業系統之平板電腦與智慧型手機。文中所引用之圖文操作環境以Android 4.1和 iOS 5.1 為主，若有其他版本，則另外特別加註說明。 本指引首先說明編撰目的、適用對象、章節架構及使用建議。然後介紹主流 行動裝置平台的普及性評估與各作業系統(如 iOS 、Android及 Windows Phone) 之差異 。 接著說明行動裝置的各種資安風險來源 與研擬 防護措施時的 應注意事項，包 括使用不可信任的軟體與裝置、使用不可信任的內容、缺乏實體的資安控制 措施、使用不可信任的網路、與其他系統互動及情境範例說明 。在瞭解資安 風險與注意事項之後 (如近場通訊 、GPS 使用等) ，列舉行動裝置的 安全使用 建議 。 內容中涉及行動裝置應用程式的開發與資安稽核，以 OWASP所列舉之十大 行動裝置應用程式開發風險(OWASP Top 10 Mobile Risks)與應注意事項為探 討主軸 。最後，介紹行動裝置應用程式的封裝原理與程式碼細節，加強檢視 軟體權限與分析軟體程式碼的能力 。 關鍵詞 OWASP Top 10 Mobile Risks 、近場通訊、GPS (全球地位系統) i ii 目 次 1.前言 1 1.1.目的 1 1.2. 適用對象 1 1.3.章節架構 4 1.4.使用建議 4 2. 行動裝置平台介紹 6 2.1.普及性評估 6 2.2. Apple的 iOS 7 2.3. Google的 Android 9 2.4. Microsof的t Windows Phone 10 3. 行動裝置的資安風險 13 3.1. 使用不可信任的軟體 13 3.2. 使用不可信任的內容 20 3.3. 缺乏實體的資安控制措施 25 3.4. 使用不可信任的網路 27 3.5. 使用定位服務 29 3.6. 與其他系統互動 30 3.7. 威脅之範例說明 32 4. 行動裝置的安全使用建議 39 4.1.啟用個人密碼鎖 39 4.2. 小心藍芽(Bluetooth)使用 43 4.3. 小心Wi-Fi使用 44 4.4. 小心GPS使用 45 4.5.設定消費功能 47 4.6.設定在地化廣告功能 48 iii 4.7.設定不具個