2015-11-27 21:40:40詹姆斯

[新聞]手機App安全漏洞偵測 資安破綻無所遁形

科技部運用法人鏈結產學合作試行計畫之七(中央社台北27日電)行動資安領域埋藏各式陷阱,國立清華大學資工系、資訊安全實驗室教授孫宏民研究團隊開發出一套厲害的法寶,讓有安全漏洞的 APP無所遁形,更以「白帽駭客」身分偵查各大業者開發 APP的資安隱憂,並回報給這些公司,讓國際品牌Google、Facebook、美國電信龍頭AT&T都頒發獎金、感謝函給他的研究團隊,更曾登上美國電信龍頭AT&T漏洞回報季排行榜的第3名。

行動應用程式APP市場百花齊放,全球駭客竊取資料案件也層出不窮,行動安全議題近年來備受關注,但由於行動資安的概念興起不久,這塊市場就像古代的「江湖」,吸引各路好漢闖蕩,打擊邪惡的一方。

自動偵測檢查 防止駭客趁虛而入

孫宏民研究團隊成功開發一套檢驗的法寶,「行動裝置APP安全漏洞的高效率智慧偵測系統」,可檢測Android應用程式是否存在安全漏洞,一眼看穿各大APP的資安破綻,避免不義之士來犯。

趨勢科技資料統計,全台灣一天中,每4台就有1台裝置處於資料被駭的危機中,全台民眾一天約有15%時間,行動裝置暴露在不安全的WiFi環境中。

然而,據資料顯示,台灣近9成民眾會使用個人電腦(PC)端防毒軟體,行動裝置資安軟體安裝率未及1成,顯示行動資安市場具高成長潛力。

孫宏民所帶領的團隊偵測發現,國際品牌開發的APP像是Google(谷歌)、Facebook(臉書)、Evernote、Alibaba(阿里巴巴)、Microsoft(微軟)、AT&T、Twitter(推特)、Yahoo(雅虎)、Sony(索尼)、eBay等,都存在安全漏洞,且漏洞數量多達1至8個,有的更直接暴露用戶所輸入的個人資料,資安隱憂令人咋舌。

行動資安有兩塊領域,一種是防堵偵測竊取個人資料的惡意APP,另一種則檢查合法的APP是否存在安全漏洞,防止駭客或有心人士「趁虛而入」,取得該 APP使用者的機密敏感資料。孫宏民的研究團隊所開發的行動裝置APP安全漏洞偵測系統聚焦在後者。因為許多APP開發者沒有資安背景,缺乏專業的駭客知識,無意留下安全漏洞,讓個資或金流暴露於危險中。

成立新創事業 行銷為最大課題

行動應用APP軟體可能因程式設計一時疏忽,而造成民眾損失隱憂,孫宏民認為,提升行動資安除了要保障個資,和銀行金流、遊戲虛擬貨幣等相關的APP更必須嚴格把關。

然而,廣泛測試後,孫宏民無奈發現,台灣有80%的銀行APP都存在安全漏洞,資訊安全暴露在高風險之下。

其實台灣不少銀行每年都編列行動資安預算,也尋找專業團隊來把關資安,有的團隊甚至能一口氣羅列某個銀行的行動銀行APP有30幾個安全漏洞,其實一隻APP那來那麼多漏洞,虛晃一招讓銀行相信他們很厲害,其實大部分根本稱不上是漏洞,糾錯「貴在精準」,以噱頭取勝實在不必要,更讓行動資安防守形同有名無實。

孫宏民形容,行動資安市場就是「沒出事就天下太平,有事才會被看重」。

台灣發展行動資安競爭對手來自全球,但多數打著專業名號的團隊,在孫宏民看來「技術並不頂尖,網站卻做得相當漂亮」。換言之,能否在行動資安領域站得住腳,「行銷」似乎扮演相當關鍵的角色,孫宏民的一席話,也一語道破台灣新創團隊的必須突破的瓶頸。

國內大專院校每年有成千上萬的學術研究與專利成果,但真正有機會被業界採用,進而商業化的成果卻十分有限,科技部積極強化產學合作,103年9月起,首度展開「運用法人鏈結產學合作試行計畫」,挖掘具有產業化潛力的大學研究成果。

再借重工研院的研發能量與產業經驗,協助以技術加值、專利組合、商品化、成立新創事業暨創新行銷模式並推廣,達到學界研發成果產業化的目標。

孫宏民的計畫雀屏中選,工研院除了協助進行市場調查及應用評估,探詢未來服務和產品發展策略,也協助擬定技術商品化策略,建立未來營運的商業模式,預計於105年成立新公司,促成1至2家業務鏈結。

能否吃得到龐大的行動資安商機大餅?孫宏民相信,團隊有好的人才、好的技術,可在APP資安產業以B2B(Business to Business, 企業對企業)商業模式、或是針對APP平台以B2C(business to customer, 企業對大眾)的方式幫助客戶端檢測,但「如何向企業主行銷」、「如何向企業主證明系統有效」,還是日後最大的課題。1041127

-----------------------------------

資訊安全真得是很重要  尤其是現在網路這麼方便

大家都可能會把自己的資料洩漏出去  

所以能有類似的APP 感覺挺不錯的