安华联网揭露台湾App常见3大风险，不安全的资料储存与传输，是开发人员最容易疏忽的问题

随着手机应用的普及，行动App的重要性早已不言而喻，因此App的安全性也同样受到高度重视，然而，经历多年的发展，台湾还是有很多企业组织与软件开发人员，一开始就没有把安全纳入考量。

这样的情形，最近两三年仍时常发生吗？今年4月，安华联网公布自家“行动应用App基本资安检测基准”（MAS）的检测经验，或许可以得到一些答案，该公司技术长刘作仁表示，他们的资安检测实验室观察到国内有3大常见的App安全问题。

从App资安检测经验，看国内App开发3大常见问题

对于台湾行动App的开发，有哪些常见安全问题？安华联网在他们检测过的国内400支左右App中，当中包含4成是金融领域App，2成是-单位，其他还包括行动支付、教育、医疗与运动产业，发现发现3类常见风险最容易发生。若对应OWASP Mobile Top 10的风险类别，分别是不安全的资料储存（Insecure Data Storage）、不安全的传输行为（Insecure Communication）、用户端程式码品质问题（Client Code Quality）。

其中又以前两种最严重，都有近50%比例有此状况存在。不论企业自行开发或是委外，都应该要及早注意。

资料储存不安全

简单来说，就是储存在手机的资料，没有妥善保护，这是他们最常发现到的问题。

以社交App为例，当用户下载安装后，可以拍照并分享，但若这张照片放在所有App都可存取的目录，此时，一旦有骇客打造恶意的App，将可取得这些照片。

另外，像是用户使用医院App挂号，该程式贴心地将姓名、身份证字号与年龄等资料，储存在手机之内，之后每次民众挂号时，可以不用再重新输入资料，看似方便，之后经检查却发现，民众资料被直接存放手机的目录底下，没有套用任何加密。

关于这样的情形，也就是用户端装置未适当保护敏感性资料，刘作仁表示，其实这在OWASP或MAS标章都有规范，禁止将使用者个人资料用明文方式存放于手机。不论是存放在共享目录，或是应用程序的目录，都不能用未加密的方法将敏感资讯储存在手机，包括个人资料或手机SIM卡相关资讯等。

还有那些状况要特别留意？例如，将敏感资料（User ID）记录于内存参数中，或是储存于日志档案。

他解释，有些开发人员可能需要知道程式是否写错，留下很多Log记录，但完成Debug后并未删除或关闭，因此，他们检测时就常在日志档案发现这些敏感资料，当中不只有电话号码、昵称，甚至还有密码与身份证字号。此外，还有客户误以为Base 64是加密的状况，但实际上这只是编码方式，只要有一点技术能力，都能够还原。

刘作仁强调，App开发者应该要知道：敏感性资料并非不能储存，但要让用户知道储存了那些资料，以及要用安全的方法储存。

对此，他列出三个原则，包括：敏感资料勿使用不安全的加密方式储存，包括勿以明文方式储存，要用合格的加密算法去储存；敏感资料勿储存于不安全路径或档案，像是日志档与SD卡的目录；建立ROOT侦测机制以提升App安全性，降低敏感资料泄漏的风险。

以案例说明“不安全的资料储存于用户端”的情况之外，安华联网技术长刘作仁表示，他们也提供了改进的三大建议，例如，（一）敏感性资料勿使用不安全的加密方式储存，包括明文方式与不安全的编码（如Base 64等）；（二）敏感性资料勿储存于不安全路径或档案，包括冗余档案与日志档 (Log) ，以及SD卡 ；（三）建立Root侦测安全机制 ，以提升App的安全性 ，这是因为存取内部储存空间需取得Root权限，以降低敏感性资料泄漏的风险。

资料传输不安全

大多数App都有网络通讯能力，需要与云端服务器应用程序去取得对应的资料，但在连线过程当中，很多开发人员往往会忽略相关安全。此时可能会有3个状况，包括：未以加密方式（HTTPS）传输敏感性资料，未检查凭证来源，以及使用过旧的TLS版本。

他解释，部分开发人员不知道要采用HTTPS加密连线传输，仅用明文HTTP传送资料，如此一来，经由这种方式传输的账号密码资料，都很容易被看光。

而他更要提醒的是，虽然现在大家开始知道要采用HTTPS，但还是有些地方要注意。例如，一旦App未检查连线安全性，此时，骇客可以运用中间人攻击，让App以为跟服务器连线，实际却是跟骇客电脑连线，这将导致讯息被窜改、资料遭窃，以及被植入恶意程式等风险。

探究其原因，在于开发者疏于检查凭证，导致App无法识别服务器的真假，因此在实验室检测的过程中，还是可以看到传输的资料内容。

不仅如此，他观察到有客户对于HTTPS认知甚少，因为开发者使用了老旧且不安全的TLS 1.0，并在TLS采用了RC4算法。

该如何改善？刘作仁表示，使用安全的加密传输协定（HTTPS）传输敏感性资料是必要的，但也要注意TLS 版本需1.1版以上，才符合MAS标章基本要求，而有的国外标准更是要求1.2版以上，甚至是1.3版，才能通过安全测试。同时，TLS采用的算法也应采指定的AES、3DES算法，以及2,048位元以上的RSA，或是224位元以上的ECC加密算法。

同时，App需加入凭证绑定的安全机制。安华在这方面执行的检查项目，包括：凭证须为开发人员所指定，以及凭证是否仍在有效期限，并且未被注销，还有凭证包含连线的服务器网域名称。还有哪些要注意的地方？例如，骇客利用假的凭证，像是凭证名称一样，但签发单位不同，以及检查是否为合格ROOT CA签发，还有发现凭证被指向其他目的时，App需有阻断连线的能力。

除了以案例说明App不安全的传输行为，对于如何改进，安华联网有两大建议，例如，（一）使用安全的加密传输协定（HTTPS）传输敏感性资料，包括：TLS 版本需使用TLSv1.1以上，使用RSA加密算法金钥（长度为 2048 bit以上）或椭圆曲线加密算法（长度为 224 bit 以上），以及使用AES或3DES加密算法；（二）具备凭证绑定（Certificate Pinning）安全机制，包括：检查凭证为开发人员所指定，凭证仍于有效期限、未被注销，且凭证包含连线之服务器网域名称，以及确保服务器凭证为行动操作系统内建可信任之凭证机构所签发。

资料输入的内容未经完整验证

这是用户端程式码安全性方面的问题，例如，在使用者操作界面上，没有过滤使用者输入的内容，一厢情愿地认为使用者都会输入正确的资料，是App开发者必须注意的心态。

这样的问题不仅出现在网站开发，也包含手机应用程序。若未针对输入的资料进行完整性验证，就会有SQL Injection、缓冲区溢位、格式化字串、XSS攻击，以及Local File Inclusion等风险。

为了避免这样的情形发生，刘作仁建议，App在前端与后端都要采取相关防范机制。例如，针对应用程序内所有字段，在前端就要做到限制输入型别或输入格式，像是电话字段仅能输入数字，以及限制字串长度，像是电话字段仅能输入10码；后端也需要针对使用者输入特殊字元过滤，或对不安全的字元进行编码。

对于资料输入的内容未经完整验证，安华联网分别在前端与后端提供建议，以前端而言，应用程序内所有字段应针对使用者所输入型别及长度进行检查，像是资料字段应限制输入型别或输入格式，像是“电话”字段仅能输入数字，以及资料字段应限制字串长度，像是“电话”字段仅能输入10码；在后端方面，使用者所输入特殊字元传送至后端服务器需进行处理，例如，需过滤相关特殊字元，像是“ ‘ >< / ~!#等，以及针对字元进行编码等。

及早订定资安需求、予以因应，胜于事后补救

基于上述App安全检测经验而言，我们注意到，这其实透露出一个危险的状况，那就是：很多企业在App开发完成后，即便到了送验的阶段，却还有很多基本安全问题没有妥善处理，等于到了应用程序开发后期阶段，又要花额外时间去修正，而这当中，又有很多是OWASP Mobile Top 10已列出的常见问题。为了解决这些弱点，可能会导致App推出时程受到影响。

看起来，国内App开发人员的安全认知，以及后续在安全方面软件测试，或是委外开发的资安验收，都还有很大进步空间。

企业该如何改进这些问题？对此问题，刘作仁认为，虽然现今的软件开发过程，已有软件测试（QA）工程师负责功能测试，但资安方面的测试，一般QA较难以切入，再加上App自动化检测工具并不普及，很难在内部测试阶段就发现这些问题。因此，他认为，还是需要仰赖开发人员的教育训练，以及在开发前，专案经理就要明确订立资安需求，才可以有效减少App安全风险。

MSTG相关检测规范将成新重点

除了揭露近年国内App开发在MAS标章验证现况，刘作仁在说明上述3类App常见风险时，在分享实际案例，以及说明修补建议之余，同时他还提供了相关参考规范。

举例来说，以“不安全的用户端资料储存”而言，在经济部工业局行动资安检测标准（MAS）中，有一个敏感性资料保护类别，包含行动应用程序敏感性资料传输检测，针对资料储存限制、保护与控管的三个安全要求；而在TAICS智慧机系统内建软件资安检测标准中，主要针对手机出厂预载的App做检测，也有4个相关安全要求，例如，内建软件应将账号、通行码或金钥储存于操作系统保护区内，或以加密方式储存等，就是其一。

而在国内的App资安检测标准之外，刘作仁也举出两项国际标准，像是近年新兴的ioXt联盟，今年发布了Mobile App Profile，针对手机应用程序也有这方面的要求，另一个则是越来越多人讨论的OWASP Mobile Security Testing Guide（MSTG），更受瞩目。

此指引提供检核表Mobile App Security Checklist，主要是基于MSTG与OWASP行动应用安全验证标准（MASVS）而成，刘作仁并指出，目前MASVS包含了最丰富的测试项目。值得关注的是，现在台湾已有金融单位开始重视，将MSTG相关列为App检测的必要条件之一。

针对这次3大常见风险，刘作仁同时也提供了相关规范作为参考，举例来说，以“不安全的传输行为”（Insecure Communication）的问题类型来看，包括国内的经济部工业局行动资安检测标准（MAS）、TAICS智慧机系统内建软件资安检测标准，以及国际上的OWASP Mobile Security Testing Guide与ioXt Mobile，都有对应的检测项目。（图片来源：安华联网）

对于App安全，由于部分开发者缺乏资安意识，导致使用者面临资料外泄或财产损害，为此，经济部工业局在2015年时，公告了“行动应用App基本资安检测基准”，希望让国内的App，至少做到基本的资安防护水准。如今，在国内的行动应用资安（MAS）联盟中，App检测认可实验室已有13间。

目前，这项标准非强制性要求，主要还是透过相关产业主管机关的力量，自行决定是否要求，不过，近年国内金融机关已受到主管机关要求，而-也在推动所有单位都需要取得MAS标章，因此，这两类产业对于App检测较为积极，而在其他产业中，有些也因为参加-计划，而同样受到要求。