APP 安全-自我把關

一、Android  VS.  IOS

Android IOS
審查制度 利用自動化工具+人工淘汰,自動化演算法,篩選出攜帶病毒或違規的app,接下來便是通過專家的人工篩選來淘汰這些不良app 付費才能將APP 上架送審,且審查採人工進行
審查時間 較短(時) 較長(天)
下載來源 Google play 或其他可取得地方 APP store
數量 多(143萬) 少(121萬)
原始碼 開放 封閉

由上表中得知Android手機或Apple手機應用程式數量眾多,經濟部工業局於2015年8月推出「行動應用App基本資安規範」,其App基本資安檢測基準v1.0版(註)包含應用程式發布安全、敏感資料保護、付費資源控管安全、身分認證、程式碼安全等五大檢測面向。

 

二、下載應用程式該應注意事項:

(一) 於官方網站中下載App。如:App Store、Google Play。

(二) 管理App權限,開放正常運作所需之權限,如:Android手機使用者可以自行決定想要分享的內容,也可以隨時關閉權限,由於Android App都在虛擬沙盒環境中執行,在未經使用者授權的情況下,App無法存取其他系統資料。

(三) 軟體是否有設定密碼保護。

(四) 通訊軟體是否有通訊加密協定保護。如:LINE加密。

(五) 定期更新應用程式版本及手機作業系統。

(六) 安裝防毒軟體並定期掃毒。

(七)「不要勾選」內建設定中允許安裝未知來源的 App。

(八) 不root或越獄,避免APP遭外部連線入侵。

(九) 查看APP的評比與評論。

 

三、以去年很夯的Pokemon Go 為例

(一) 如權限設定,在歐美國家剛上架時,此APP取得的權限為Google帳號之完整帳戶許可權,但在台灣上架時所取得之權限為基本帳戶資訊。

(二) 網路安全公司ESET表示,先前在Google Play商店發現三款惡意App,分別是《Pokemon Go Ultimate》、《Guide & Cheats for Pokemon Go》和《Install Pokemongo》,只要開啟手機就會「當機」,或是誘導玩家買虛擬商品、登入詐騙網站。另外一個名為《pokecoins for pokemon go Guide》的APP,宣稱可協助玩家輕鬆賺取 Pokecoin 遊戲幣的輔助教學程式。然而,這其實是個詐騙。而目前這些應用程式均已被下架,但未來不免再出現類似的情形,使用者還是要小心。

    

 

四、參考資料

抓寶可夢竟有假 GPS 定位?! 山寨《Pokémon Go》假應用程式,廣告程式充斥

[教學]Pokemon Go推出v1.0.1版!教你修正Google帳號完整存取權限

Pokémon Go存在安全風險,直接獲取玩家Google帳號「完整權限」

都假的!這三款《寶可夢》App 可能讓你手機「死當」

Android開發者晴天霹靂!Google部署App上架審查

Google教你4招,常保Android裝置安全

避免惡意SDK染指App 善用檢測基準或滲透測試