第十屆金融CIO高峰會夏季場
根據MIC的調查指出,台灣消費者首選行動支付的比例(35.3%),已首度超實體信用/金融卡(33.9%),同時在消費者常用的交易方式中,行動支付從2018年的43.8%,成長至2020年上半年的59.7%,這使得行動平台成為各種惡意攻擊的新戰場。根據趨勢科技指出,打從2015年開始,在行動裝置的目標式攻擊呈現逐年增長的趨勢。
文/曹乙帆
精誠資訊技術經理劉晟宇指出,當前App的最大風險莫過於Android上的Rooting及IOS越獄。Rooting又分成透過工具或rookit來取得超級用戶權限的 Soft Root 及透過刷機的 Hard Root。雖然iOS大致比Android更安全,但卻造成使用者的大意,事實上,Safari及 iOS 12 出現能導致遠端越獄的漏洞。
2016年至2019年,銀行木馬開始泛濫,不僅偷錢並竊取資料以獲取更大好處。Android上最惡名昭彰的銀行惡意軟體還包括Anubis及Cerberus遠端存取木馬,他們可以100%從後端進行配置,換言之,攻擊者可以對任何目標發動攻擊。Google在2020年5月修補的 StrandHogg 2.0 漏洞,讓駭客可以同時攻擊裝置上的任何App(發動 StrandHogg 1.0 漏洞攻擊的駭客一次只能攻擊一個App)。
劉晟宇表示,手機惡意軟體是構成使用者App的真正威脅,除了第三方App商店外,目前連官方App商店都充斥著各種惡意App。所以我們必須確保App在運行及靜止時的完整性與安全性,以便能有效杜絕逆向工程及重新打包等靜止時攻擊手法,以及間諜軟體/木馬、任意程式碼植入、模擬器及除錯程式等運行時攻擊手法。