[資安小常識] 您下載的App真的安全嗎？請檢查您App的授權行為！

圖1: 絕大部分的民眾經常使用智慧型手機中的App

圖片來源: Silicon Republic
https://www.siliconrepublic.com/digital-life/item/34214-more-than-half-of-irish-peo

相信您經常在您的智慧型手機內下載有趣、方便又實用的App。然而，不是所有App都是安全的。從2014年6月的McAfee實驗室威脅報告（McAfee Labs Threats Report）指出，今年第一季統計智慧型手機惡意程式（Mobile Malware）總共已接近400萬隻（圖2），您從App Store上下載的App，也可能是惡意應用程式。

圖2: 智慧型手機惡意程式統計數據每年持續增長

圖片來源：McAfee Labs Threats Report, June 2014.

https://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf

若您安裝夾帶惡意程式的App，此App可能做出以下未經您允許的行為：

恣意安裝其他的App
允許App監控您的SMS訊息，並記錄或處理這些資料
以您的名義寄出SMS訊息
擷取您的SMS訊息
追蹤您的GPS位置(經緯度位置)
讀取您的IMEI號碼、MAC地址，並傳輸這些資料到第三方（JSON）
寄出您的活動紀錄至第三方（例如：竊取您在智慧型手機內設定的帳戶及密碼）

圖3: 原版FloppyBird與惡意App易混淆

圖片來源：McAfee Labs Threats Report, June 2014.

https://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2014.pdf

最明顯的例子是紅極一時的Floppy Bird（其作者在今年二月關閉此App）。Floppy Bird的成名以及普及性，成為了網路攻擊者的首要目標。惡意軟體編寫者製作了數百種與Flappy Bird相似的App（圖3），如Fly Bird、Flappy Penguin等等，並夾帶智慧型手機惡意程式（Mobile Malware）。利用用戶對此遊戲的熱情，企圖誘惑使用者下載這些應用程序，藉此達到攻擊的效果。這些App也曾是被驗證過的應用程序。從報告指出，在抽取300份相似於Floppy Bird的上架遊戲中，高達238份樣本被歸類為惡意程式，意味著有高達80%的App是有資訊安全疑慮的。

圖4: 在Google Play商店安裝Outlook.com出現請求授予權限的畫面

App選擇包羅萬象，使用者要如何判斷App的安全性呢？資安小常識這裡提供了一些方法，讓您在安裝時可以參考：

安裝前仔細查看請求授予權限清單，判斷是否真的需要授權（如圖4）？
App實際發揮的功能與請求授予權限項目是否吻合？若是地圖型App，大多都需要您授權存取GPS位置，然而，大部分的遊戲都不需要您的GPS位置。
事先查詢開發者/開發商的資訊，先行判斷此開發者/開發商可否信任？
事先參考使用者的評論，判斷此應用程式的安全性及可用性。
注意傳輸資料的方法及存取資料的位置是否安全？可以注意是否有將較為私人的資料（例如私人訊息、密碼等等）儲存在經過加密的檔案中；傳輸時是否使用加密通訊協定（HTTPS）或是其他加強性安全的協定。

越來越多的惡意程式藉由一般標準應用程式平台提供App，藉此來竊取私人資訊、執行未經允許的動作。使用者應該在下載與安裝App之前多留意App要求的權限是否合理，並且避免安裝來源不明的App，才能為自身資訊多添一層保障！

參考資料：

SecurityWeek - Mobile Malware Leveraging Trusted App and Service Vulnerabilities: McAfee

https://www.securityweek.com/mobile-malware-leveraging-trusted-app-and-service-vulnerabilities-mcafee

[資安小常識] 您下載的App真的安全嗎？請檢查您App的授權行為！

Comments

Ytterligare resurser