手機APP漏洞多 勤業籲別讓皮卡丘變成資安大盜

勤業衆信風險管理諮詢公司副總溫紹羣呼籲,「別讓皮卡丘變成資安大盜」。(業者提供)

勤業衆信聯合會計師事務所18日發佈《2016年行動應用APP之安全檢測報告》,勤業衆信企業風險管理諮詢公司副總經理溫紹羣指出,現在當紅的手機遊戲APP「Pokemon GO」可能出現資安問題,並呼籲「別讓皮卡丘變成資安大盜。」

溫紹羣說,根據報導指出,上一代的Pokemon GO應用程式,要求使用者採用Gmail認證,這可能會讓軟體供應商取得進入Gmail取得資料的權力,這引發使用者的資安質疑,導致新一代的Pokemon GO已經修正的這的認證機制。

勤業衆信企業風險管理諮詢公司總經理萬幼筠指出,由於APP資訊架構較傳統系統複雜,且承載更多機密資訊,且企業APP多半委託外部廠商開發,容易造成資訊安全漏洞、成爲駭客攻擊標的,不可輕忽。

勤業衆信風險諮詢服務部執行副總經理吳佳翰則表示,目前手機APP有7到8成爲免費APP,可能有過度泄露個資之虞,資安實驗室可協助APP資安強度,包括是否有加密並儲存在高安全度的地方以及是否取得過多不必要的個資,經濟部工業局也自上半年開始針對行動應用APP,推動自主安全認證機制。

勤業衆信《2016年行動應用APP之安全檢測報告》建議,APP資安需靠5大招,首先,應注意行動應用程式發佈的安全性,防止合法APP遭到僞冒或非法存取個資;第二,應進行敏感性資料保護,以防止敏感性資料以純文字格式直接儲存於資料庫欄位,或未進行加密傳輸。

第三,可透過付費資源控管資安,要求付費資源使用前需進行身份認證及主動通知使用者;第四,爲了防止交易資料未進行完整性驗證與防護,應設立身分認證、授權與連線安全管理機制;最後,爲了防止使用具備公開弱點的程式集,或未覈實使用者輸入資料正確性,應驗證行動應用程式碼安全。