導入APP資安檢測 打造企業安全防護牆

網拍業者利用知名藥妝通路商的APP漏洞，在網購時將購物車結帳金額改為零，詐騙廠商出貨之後再以低價販售獲利；加拿大航空App遭駭，導致2萬名用戶個資外洩…。上述來自各個產業的資安事件凸顯出：在行動科技蓬勃發展的今日，行動應用APP已成為惡意人士從事非法活動的管道，他們正四處尋找可入侵的App，然後從中找到獲取非法利益的方法。

App資安議題備受重視

然而，儘管行動資安防護如此重要，但是多數企業仍抱持駭客不會找上自己的保守心態，沒有採取正確的防護措施。是以甫落幕的2019蘋果開發者大會（WWDC）中，蘋果公司經營高層提到，在蘋果公司每週審核的10萬個App之中，高達4成無法上架，其中多數是因為資安疑慮。

另一方面，政府也高度重視手機資訊安全議題。為保證手機用戶使用App的安全性，我國政府已於2016年參照國際相關資安規範，完成「行動應用App基本資安規範」，並且訂定「行動應用APP基本資安檢測基準」，引導行動應用App開發商研發產品時，導入資安概念。未來，國發會也將研修規定，官方APP都要經資安檢測通過後才能上架；經濟部工業局也將APP資安檢測服務納入共同供應採購契約，讓各個政府機關依需求採購APP資安檢測服務，確保政府資安防護滴水不露。

企業應建立App安全開發機制

顯然，不論是從用戶使用安全性、平台審核機制，或是政府規範等層面來看，可以發現，開發一個具備高度安全性的App，已經受到各方的重視，更是企業推動數位轉型必須要走的一條路。然而，App可能出現的資安漏洞複雜性高，企業要建立一個可開發高安全性App的內部機制，必須擁有一套對的開發流程與方法。

身為第一類電信業者也是專業資安解決方案提供廠商，中華電信具體指出，行動App無法通過檢測的因素很多，前五大原因分別為：第一、未針對使用者輸入字串驗證其型別與長度；第二、以明文形式將敏感性資料儲存於暫存檔或紀錄檔中；第三、未採用長度128位元以上的交談識別碼或無正確實作登出失效機制；第四、仍存在相關Injection攻擊的漏洞；第五、未採用TLS1.1以上加密協定傳輸或金鑰未採RSA 2048位元、橢圓加密224位元、AES或3DES 128位元以上之加密演算法。

「上述App漏洞問題複雜且變化性高，企業要靠自己的IT技術能力達到安全標準，難度不小。」中華電信建議，企業必須從開發之初，就具備App資安防護思維，並導入檢測服務，才能建立一個具備資安防護的開發流程，如此才能盡量避免App開發完成之後，才發現有資安疑慮必須耗費周章修補，或是出現資安問題沒有發現上架App，最後對企業帶來風險。

中華電信提供一站式App檢測服務

針對企業面對的App資安問題，中華電信為協助企業打造行動資安防護網，避免企業客戶個資因APP安全漏洞外洩，提供企業完整的「一站式App資安檢測服務」：包含開發方法的教育訓練，初測與複測，以及提供完整詳細的檢測報告作為修補參考等。不僅有助於企業完善App開發，更可協助客戶在最短的時間內，通過安全檢測。

中華電信強調，中華電信APP檢測服務由中華電信研究院執行，該單位是通過多項認證，包括CMMI Level 3 認證，ISO/IEC17025實驗室、資安鑑識實驗室、NCC資通訊設備安全檢測實驗室，擁有完整的軟硬體測試能量，是高度專業的資安專家。值得一提的是，中華電信提供企業App開發前的教育訓練，更可協助企業按照流程開發，不僅可減少檢測時的問題發生，更可減少開發過程中可能遇到的障礙。

中華電信完整的資安檢測服務，目前已經獲得許多企業的青睞使用，包括中華電信、國泰世華、華南銀行等金融業者之外，中央研究院、桃園市政府、台北市政府等機關也都採用中華電信的檢測服務。中華電信呼籲各個產業，行動上網以及App的大量使用，已經成為人們生活的一部分，金融業者與政府機構之外，各行各業都不能忽略App安全的重要性，因此在開發階段就導入檢測機制，是建立安全的最佳手段與方法。

毫無疑問，當行動上網已經成為人類重要生活型態，App資安防護絕對是企業經營不能忽視的重點，企業必須擁有正確的思維，尋找可信賴的合作夥伴，建立企業最高安全防護網，才能在數位轉型的道路上，獲得安全保證，無風險迎向數位經濟時代。

【APP檢測 解決方案】連結

專人服務電話：0800-080-365