近年來隨著高度的資訊發展,智慧型手機已經成為國人們不可或缺的電子設備。伴隨著行動裝置的興起,許多行動APP也因應而生,APP帶來的風潮,不僅改變了現代人的消費模式,甚至為許多企業帶來不一樣的可能性。
雖然APP提供普遍大眾許多便利的服務功能,但其中卻隱藏著潛在的資安風險,許多開發人員缺乏資安意識,往往未針對所開發的行動應用程式進行資安方面的考量,導致使用者恐遭受機敏資訊外洩或甚至是財物損失的風險。
因此,為了確保行動APP的安全,OWASP制定出了OWASP Mobile Top 10的十大弱點,讓開發人員在開發、部屬階段時能有效地去審視自身的APP是否符合國際制定的資安標準。儘管這十大風險安全性原則皆與網站安全的OWASP TOP 10相似,但行動APP所帶來的是不同的十大風險,而這些都是開發、資安團隊所必須關注的事情。
接下來小編就為大家一一介紹這10大行動APP弱點吧:
【M1:作業系統平台使用不妥當(Improper Platform Usage)】
#風險說明:
日趨漸增的APP越來越講究所能提供給使用的便利服務,但為了便利性常忽略一些安全上的考量。而這項風險所指的是行動裝置上的功能濫用與未能妥善使用行動裝置的安全控制,包括Andorid的intent、手機權限、Touch ID的濫用、KeyChain等多項安全控制。
【M2:不安全的資料儲存於用戶端(Insecure Data Storage)】
#風險說明:
近年來隨著消費習慣的改變,許多APP也開始提供金流的服務,而牽扯到金流的部分,對於行動APP而言更要強調資料防護的安全性。因此不安全的資料儲存弱點,恐造成使用者的機敏資料外洩,包括密碼、驗證Token、以及儲存於應用程式內的個人身分資料,導致使用者造成財務上面的重大損失。
【M3:不安全的傳輸行為(Insecure Communication)】
#風險說明:
許多行動APP為了提供更完善的使用者服務,通常會有後端伺服器去掌握各個使用者的這些資料,因此在面對浩大的網路之間,傳輸層的安全性更需要受到保護。而這項弱點所探討的就是APP與後端伺服器中間傳輸的安全性,包括不安全的傳輸過程、SSL憑證版本不正確、使用無效的憑證以及傳輸敏感性資料等。
【M4:不安全的身分驗證(Insecure Authentication)】
#風險說明:
行動APP若有牽涉到個人隱私機料或是金流方面的服務時,那麼安全的身分驗證是必須的。而這項弱點所探討項目包括「請求連線時,沒有針對使用者進行身分驗證」、「連線時,無保持確認使用者身分」以及「請求過程中的漏洞」皆涵蓋於此項目中。
【M5:(Insufficient Cryptography)】
#風險說明:
許多行動APP恐涉略使用者的機敏資料,因此開發商會利用加密的技術針對這些機密訊息進行保護。但在某些程度上面的加密技術是不足的,像是使用弱密碼、使用安全性較低的加密演算法
【M6:(Insecure Authorization)】
#風險說明:
此項風險涉及的主要是使用APP時任何失敗的授權行為,許多行動APP會透過訪問後端伺服器進行資料的創建、讀取、更新、刪除(CRUD)四大操作。因此,當後端伺服器未能妥善地授權使用者能訪問的權限時,恐造成伺服器內機敏資料的外洩。
【M7:(Client Code Quality)】
#風險說明:
為了更加豐富行動APP的功能性,許多開發商會導入便利的API進行使用。而許多API的來源並不安全,恐導致開發人員使用了錯誤的API、不安全的API或是利用了不安全的程式結構等問題。這些惡意程式代碼恐允許惡意使用者利用程式邏輯,繞過設備上的安全機制進而導致使用者機敏資料外洩等風險。
【M8:(Code Tampering)】
#風險說明:
當行動APP安裝至行動裝置後,所有的數據資源基本上都存放在裝置上。因此惡意攻擊者就有機會可以直接修改程式碼、動態修改記憶體內的內、更改或是替換行動APP所使用的API,透過修改應用程式的數據與資源,惡意攻擊者能改變行動APP原本預期的呈現效果或是取得金錢利益的直接方法。
【M9:(Reverse Engineering)】
#風險說明:
行動APP可以很容易地透過某些工具進行解壓縮提取,若提取成功,攻擊者就會擁有APP的各類資訊文件、機敏資訊甚至是源碼等。透過逆向工程的手法,繞過安全控制,一旦提取的程式碼未經過妥善的防護措施,可使得惡意攻擊者隨意竄改程式碼並插入惡意的代碼,接著再散布出去使得一般使用者上當受騙。
【M10:(Extraneous Functionality)】
#風險說明:
許多開發人員為了在開發行動APP時能更加便利的去使用某些功能,可能會在開發過程中隱藏一些後門程式。或是無意間在程式碼中留下了金鑰的資訊,這些額外的功能都有機會讓惡意使用者竊取機敏資料或是使用未經授權的功能。
參考
Mobile Top 10 2016-Top 10 https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
用 OWASP Mobile Top 10 檢驗 APP https://sls.weco.net/node/27579
2016 OWASP Mobile TOP 10 中文版 https://blog.csdn.net/cch139745/article/details/54943963