洞察解析
行動應用APP資安風險與防護
勤業眾信聯合會計師事務所風險諮詢服務 / 溫紹群副總經理、舒世明協理、鄭淳嶸副理
在工業4.0、金融3.0、物聯網(IoT)等新興科技搭配行動應用APP蓬勃發展時,駭客的地下經濟亦隨之昌旺,而這些行動用應APP便成為惡意人士亟欲入侵的目標。除了傳統的移動裝置風險(如OWASP Top10 Mobile Risks)外,在近期的幾起手機應用程式APP資安事件中,我們也見到了惡意程式及個人資料侵害的威脅已與許多新的行動應用APP
由於行動應用APP 的開發時程較短且多採委外開發,在開發者以功能為優先導向的取捨下,常會忽略了資安上的管控,而對企業造成負面影響。而企業欲防範自身的APP成為惡意人士利用之工具,筆者建議企業在開發APP時,可從行動應用程式發佈安全、敏感性資料保護、付費資源控管安全、使用者身分認證、授權與連線管理安全及行動應用程式碼安全等五個面向針對自身開發或委外廠商開發之行動應用APP進行風險識別。
企業或開發者在檢視其行動應用APP之際,應自我檢視其APP的:
- 行動應用程式發佈安全
- 敏感性資料保護
- 付費資源控管安全
- 使用者身分認證、授權與連線管理安全
- 行動應用程式碼安全
對於大多數的用戶來說,行動裝置已成為他們生活當中最重要的工具,但行動裝置本身以及行動應用APP卻缺乏相關的安全性以確保其或其所含之資料的安全。筆者建議開發人員及企業應藉由行動應用APP檢測、開發生命週期的改善以及委外開發之風險管理,進一步了解其所開發的行動應用程式APP所面臨的威脅並降低資訊安全及法律面的風險,以達企業永續經營之目標。