回到頂端
|||

蕃新聞

熱門: 柯P 好萊塢 獵雷艦

手機 App 安全漏洞偵測資安破綻無所遁形

中央社/ 2015.11.27 00:00
手機 App 安全漏洞偵測資安破綻無所遁形

(中央社訊息服務20151127 16:10:06)科技部運用法人鏈結產學合作試行計畫之七

行動資安領域高深莫測,埋藏各式陷阱,國立清華大學資工系、資訊安全實驗室教授孫宏民研究團隊開發出一套厲害的法寶,讓有安全漏洞的 App 無所遁形,更以「白帽駭客」的身分偵查各大業者開發 App 的資安隱憂,並回報給這些公司,讓國際品牌 Google、Facebook、美國電信龍頭 AT&T 都頒發獎金和感謝函給他的研究團隊,更曾登上 AT&T 漏洞回報季排行榜第 3 名。

行動應用程式 App 市場百花齊放,全球駭客竊取資料案件也層出不窮,行動安全議題近年來備受關注,但由於行動資安的概念興起不久,這塊市場就像古代的「江湖」,吸引各路好漢闖蕩,打擊邪惡的一方。

但江湖中,有招搖過市的江湖術士、有深藏不露的行家,也有結盟闖蕩的武林各大門派,看似能維持正義,實際上素質卻良莠不齊,雜亂無章地發展。

自動偵測檢查 防止駭客趁虛而入

孫宏民研究團隊成功開發一套檢驗的法寶,「行動裝置App 安全漏洞的高效率智慧偵測系統」,可檢測 Android的應用程式是否存在安全漏洞,一眼看穿各大 App 的資安破綻,避免不義之士來犯。

行動裝置威脅數量不斷成長,App程式、作業系統、裝置本身與使用環境的漏洞,成了行動裝置使用者的頭痛問題,漏洞越來越多,使得網路犯罪集團擁有更多的攻擊管道。

趨勢科技資料統計,全台灣一天中,每 4 台就有 1 台裝置處於資料被駭的危機中,就單以使用環境為例,全台民眾一天約有 15% 時間,行動裝置暴露在不安全的 Wi-Fi 環境中。

然而,據資料顯示,即便台灣民眾有 9 成在個人電腦 (PC) 端會安裝防毒軟體,但行動裝置的資安軟體安裝率卻不及 1 成,除顯示行動資安市場的潛力,更重要的是,釋出 App 的企業或機構更應該注意資安漏洞的防範。

著眼行動資安的需求與不足,孫宏民 101 年開始帶領 5、6 名學生團隊系統開發行動裝置資安漏洞偵測系統,已完成實驗室操作平台,兩年多來自行對現今知名或熱度極高 App 開發應用網站 Android 系統進行偵測,效果卓越。

孫宏民所帶領的團隊偵測發現,國際品牌開發的 App,像是 Google(谷歌 )、Facebook( 臉 書 )、Evernote、Alibaba(阿里巴巴)、Microsoft(微軟)、AT&T、Twitter(推特)、Yahoo(雅虎)、Sony(索尼)、eBay 等,都存在安全漏洞,且漏洞數量多達 1 至8 個,有的更直接暴露用戶所輸入的個人資料,資安隱憂令人咋舌。

回想開發這個系統的初衷,孫宏民說,他對 App 安全破解相當有興趣,但人工檢視 App 安全漏洞有所局限,且牽涉範圍廣,除了檢視者需要具備完整的知識,還得一行一行檢視程式碼,費時又費力,他靈機一動,思考可將其發展成自動偵測檢查工具,快速檢視市面上的 App 有沒有資安問題。

行動資安主要分做兩種模式,一是類似防火牆概念進行防堵,同時保持對於欲竊取個人資料 App 的偵測,另一種則是檢查合法的 App 是否存在安全漏洞,防止駭客或有心人士「趁虛而入」,取得該 App 使用者的機密敏感資料。孫宏民的研究團隊所開發的行動裝置 App 安全漏洞偵測系統聚焦在後者。因為許多 App 開發者沒有資安背景,缺乏專業的駭客知識,無意間留下安全漏洞,讓個資或金流暴露於危險中。

蓋世神功練成了,當然要找機會施展身手。孫宏民分享,他有一次去新加坡找一位在華為研究中心工作的朋友,想帶個伴手禮,不知道帶什麼才好,左思右想,決定用系統掃到的兩個華為旗艦機Ascend P7內建系統App的「安全漏洞」去拜訪他。

朋友知道後相當感興趣,並回報給華為大陸總部,立即獲得正視,華為甚至提出合作意願。

成立新創事業

行銷為最大課題

行動應用 App 軟體可能因程式設計一時疏忽,而造成民眾損失隱憂。孫宏民認為,提升行動資安除了要保障個資,和銀行金流、遊戲虛擬貨幣等相關的 App 更必須嚴格把關。

然而,廣泛測試後,孫宏民無奈發現,台灣有 80% 的銀行 App 都存在安全漏洞,資訊安全暴露在高風險之下。

其實台灣不少銀行年年都編列行動資安預算,也尋找專業團隊把關資安,有的團隊甚至能一口氣羅列某個銀行的行動 App 有 30 幾個安全漏洞,其實一支 App 那來那麼多漏洞,虛晃一招讓銀行相信他們很厲害,實則大部分根本稱不上漏洞,揪錯「貴在精準」,以噱頭取勝實在不必要,更讓行動資安防守形同有名無實。孫宏民形容,行動資安市場就是「沒出事就天下太平,有事才會被看重」。

儘管孫宏民團隊偵測安全漏洞的實力受到許多大廠肯定,但要將這項技術成功地、有系統地商業化,是個費時又費力的大工程。

台灣發展行動資安競爭對手來自全球,但多數打著專業名號的團隊,在孫宏民看來「技術並不頂尖,網站卻做得相當漂亮」。換言之,能否在行動資安領域站得住腳,「行銷」似乎扮演相當關鍵的角色,孫宏民的一席話,也一語道破台灣新創團隊必須突破的瓶頸。

國內大專院校每年有成千上萬的學術研究與專利成果,但真正有機會被業界採用,進而商業化的成果卻十分有限。科技部積極強化產學合作,103年 9 月起,首度展開「運用法人鏈結產學合作試行計畫」,挖掘具有產業化潛力的大學研究成果。

借重於工研院的研發能量與產業經驗,提供技術加值、專利組合、商品化、新創事業暨創新行銷模式輔導等客製化服務,達到學界研發成果產業化的目標。

孫宏民的計畫雀屏中選,是由工研院技轉中心經理夏冰心,經由工研院內部之雲端中心一位日常即特別關注及投入 App 發展的同仁極力推薦,認為清大孫宏民團隊的研究成果優異,是未來行動裝置大量普及,App 廣泛應用下,不可或缺的強化安全性產品。

工研院除了協助進行市場調查及應用評估,探詢未來服務和產品發展策略,也協助擬定技術商品化策略,建立未來營運的商業模式,預計於 105 年成立新公司,促成 1 至 2 家業務鏈結。

工研院也將協助未來成立公司的資金、人才、營運模式及技術智財競爭等,以利經營成功。

展望未來,孫宏民坦言,行動裝置App 安全漏洞偵測系統還可以朝向更精準、降低誤報機率的方面努力;另外,這套系統仍是輔助工具,安全漏洞的重要性需要人工去認定,補強人才在駭客領域方面的知識也相當重要。

能否吃得到龐大的行動資安商機大餅?孫宏民相信,團隊有好的人才、好的技術,可在 App 資安產業以B2B(Business to Business,

企 業 對 企業 ) 商業模式、或是針對 App 平台以B2C(Business to Customer, 企業對大眾 ) 的方式幫助客戶端檢測,但「如何向企業主行銷」、「如何向企業主證明系統有效」,還是日後最大的課題。

訊息來源:科技部工研院 鏈結產學合作計畫辦公室

本文含多媒體檔 (Multimedia files included):

http://www.cna.com.tw/postwrite/Detail/183872.aspx

社群留言