[資安小常識] 您下載的App真的安全嗎?請檢查您App的授權行為!
圖1: 絕大部分的民眾經常使用智慧型手機中的App
圖片來源: Silicon Republic
https://www.siliconrepublic.com/digital-life/item/34214-more-than-half-of-irish-peo
相信您經常在您的智慧型手機內下載有趣、方便又實用的App。然而,不是所有App都是安全的。從2014年6月的McAfee實驗室威脅報告(McAfee Labs Threats Report)指出, 今年第一季統計智慧型手機惡意程式(Mobile Malware)總共已接近400萬隻(圖2),您從App Store上下載的App,也可能是惡意應用程式。
圖2: 智慧型手機惡意程式統計數據每年持續增長
圖片來源:McAfee Labs Threats Report, June 2014.
https://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf
若您安裝夾帶惡意程式的App,此App可能做出以下未經您允許的行為:
- 恣意安裝其他的App
- 允許App監控您的SMS訊息,並記錄或處理這些資料
- 以您的名義寄出SMS訊息
- 擷取您的SMS訊息
- 追蹤您的GPS位置(經緯度位置)
- 讀取您的IMEI號碼、MAC地址,並傳輸這些資料到第三方(JSON)
- 寄出您的活動紀錄至第三方(例如:竊取您在智慧型手機內設定的帳戶及密碼)
圖3: 原版FloppyBird與惡意App易混淆
圖片來源:McAfee Labs Threats Report, June 2014.
https://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf
最明顯的例子是紅極一時的Floppy Bird(其作者在今年二月關閉此App)。Floppy Bird的成名以及普及性,成為了網路攻擊者的首要目標。惡意軟體編寫者製作了數百種與Flappy Bird相似的App(圖3),如Fly Bird、Flappy Penguin等等,並夾帶智慧型手機惡意程式(Mobile Malware)。利用用戶對此遊戲的熱情,企圖誘惑使用者下載這些應用程序,藉此達到攻擊的效果。這些App也曾是被驗證過的應用程序。從報告指出,在抽取300份相似於Floppy Bird的上架遊戲中,高達238份樣本被歸類為惡意程式,意味著有高達80%的App是有資訊安全疑慮的。
圖4: 在Google Play商店安裝Outlook.com出現請求授予權限的畫面
App選擇包羅萬象,使用者要如何判斷App的安全性呢?資安小常識這裡提供了一些方法,讓您在安裝時可以參考:
- 安裝前仔細查看請求授予權限清單,判斷是否真的需要授權(如圖4)?
- App實際發揮的功能與請求授予權限項目是否吻合?若是地圖型App,大多都需要您授權存取GPS位置,然而,大部分的遊戲都不需要您的GPS位置。
- 事先查詢開發者/開發商的資訊,先行判斷此開發者/開發商可否信任?
- 事先參考使用者的評論,判斷此應用程式的安全性及可用性。
- 注意傳輸資料的方法及存取資料的位置是否安全?可以注意是否有將較為私人的資料(例如私人訊息、密碼等等)儲存在經過加密的檔案中;傳輸時是否使用加密通訊協定(HTTPS)或是其他加強性安全的協定。
越來越多的惡意程式藉由一般標準應用程式平台提供App,藉此來竊取私人資訊、執行未經允許的動作。使用者應該在下載與安裝App之前多留意App要求的權限是否合理,並且避免安裝來源不明的App,才能為自身資訊多添一層保障!
參考資料:
- SecurityWeek - Mobile Malware Leveraging Trusted App and Service Vulnerabilities: McAfee
- McAfee Labs Threats Report (June 2014)
https://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf
- MobileActive - Are Your Apps Trustworthy? 6 Questions to Ask