智慧型手機資安檢測技術規範探討及風險評估
張宏昌
1.1 研究背景
行動裝置為人們帶來許多的便利已經成為人們身邊不可缺少的設備之一,為了滿足人們不同的需求逐漸開發出各式各樣的行動應用程式產品,企業意識到廣大商機逐漸湧入行動裝置市場使得行動裝置市場迅速的發展,不管是購物網站、社群網站、即時通訊軟體、應用程式與遊戲、收發電子郵件、遠端存取資料等多元用途,漸漸改變以往人們在通訊產品使用上的習慣與方式,並且更能快速、容易從世界上任何地點與任何人取得聯繫獲得不同資訊[1],隨著行動應用程式數量逐年提高,在程式開發過程中開發者容易缺乏安全考量可能造成使用者個資洩漏或財務上的損失,行動裝置成為身邊不可或缺的設備的同時,行動應用程式的安全考量顯得格外重要。
由於程式開發人員對於安全考量不夠周全導致不肖人士利用弱點掃描或是滲透攻擊方式來針對原生環境進行攻擊試圖竊取使用者個資和權限,注入式攻擊在安全漏洞OWASP前10大漏洞中,於2013年排名位居第一[2],而第24屆黑客大會中曝光QuadRooter的安全漏洞使得有心人士利用惡意程式繞過所有保安限制,取得手機的完全控制權[3],隨著智慧手機的盛行,使用者已經漸漸意識到個資保護的重要性,期望各個行動應用程式開發者或擁有行動應用程式的企業廠商能夠遵守使用者意願、最小權限及密不透風的三個安全原則中,從安全需求、安全設計、實作安全、測試安全及上線安全等多方面考量[4]。