行动应用App基本资安检测参考步骤Android版-行动应用资安联盟.pdfVIP

行動應用App基本資安檢測參考步驟 （Android版） V1.0 中華民國 105 年10月 6日 i ii 目 次 1. 編修目的 6 2. 適用對象 6 3. 建議事項 6 4. 檢測步驟 8 4.1.1.1.2. 行動應用程式應於發布時說明欲存取之敏感性資料、行動裝置資源 及宣告之權限用途 9 4.1.1.3.1. 行動應用程式開發者應提供回報安全性問題之管道 10 4.1.2.1.1. 行動應用程式應於蒐集敏感性資料前，取得使用者同意 11 4.1.2.1.2. 行動應用程式應提供使用者拒絕蒐集敏感性資料之權利 13 4.1.2.3.1. 行動應用程式應於儲存敏感性資料前，取得使用者同意 14 4.1.2.3.2. 行動應用程式應提供使用者拒絕儲存敏感性資料之權利 16 4.1.2.3.4. 行動應用程式應避免將敏感性資料儲存於暫存檔或紀錄檔中 17 4.1.2.3.5. 敏感性資料應採用適當且有效之金鑰長度與加密演算法，進行加密 處理再儲存 18 4.1.2.3.6. 敏感性資料應儲存於受作業系統保護之區域，以防止其他應用程式 未經授權之存取 19 4.1.2.3.7. 敏感性資料應避免出現於行動應用程式之程式碼 20 4.1.2.4.1. 行動應用程式透過網路傳輸敏感性資料，應使用適當且有效之金鑰 長度與加密演算法進行安全加密 21 4.1.2.5.1. 行動裝置內之不同行動應用程式間，應於分享敏感性資料前，取得 使用者同意 22 4.1.2.5.2. 行動應用程式應提供使用者拒絕分享敏感性資料之權利。 23 4.1.2.5.3. 行動應用程式分享敏感性資料時，應避免未授權之行動應用程式存 取 25 4.1.3.1.1. 行動應用程式應於使用付費資源前主動通知使用者 27 4.1.3.1.2. 行動應用程式應提供使用者拒絕使用付費資源之權利 28 4.1.3.2.1. 行動應用程式應於使用付費資源前進行使用者認證 29 iii 4.1.3.2.2. 行動應用程式應記錄使用之付費資源與時間 30 4.1.4.1.1. 行動應用程式應有適當之身分認證機制，確認使用者身分 31 4.1.4.1.2. 行動應用程式應依使用者身分授權 32 4.1.4.2.1. 行動應用程式應避免使用具有規則性之交談識別碼 33 4.1.4.2.2. 行動應用程式應確認伺服器憑證之有效性 34 4.1.4.2.3. 行動應用程式應確認伺服器憑證為可信任之憑證機構、政府機關或 企業簽發 35 4.1.4.2.4. 行動應用程式應避免與未具有效憑證之伺服器，進行連線與傳輸資 料 36 4.1.5.1.1. 行動應用程式應避免含有惡意程式碼 37 4.1.5.1.2. 行動應用程式應避免資訊安全漏洞 38 4. 1.5.3.1. 行動應用程式於引用之函式庫有更新時，應備妥對應之更新版本， 更新方式請參酌 4.1.1.行動應用程式發布安全 39 4.1.5.4.1. 行動應用程式應針對使用者輸入之字串，進行安全檢查 40 4.1.5.4.2. 行動應用程式應提供相關注入攻擊防護機制 41 iv 表 目 次 表1 檢測步驟表欄位說明 8 v 1.編修目的 為使既有及有意加入行動應用 App檢測之資安實驗室 （以下稱檢測實驗室）， 對於「行動應用 App 基本資安檢測基準」（以下稱基本資安檢測基準）各檢測 項目可採用之檢測工具與步驟有更進一步的了解，爰編修此文件提供檢測實 驗室參