行動App安全風險評估與防範措施之研究

A Study on Mobile App Security Risk Assessment and Preventive Measures

賴森堂

行動App ； 安全事證 ； MASRA ； 防範措施 ； 行動裝置 ； Mobile App ； Security certificate ； MASRA ； Preventive measures ； Mobile devices

電腦稽核

44期（2021 / 08 / 31）

28 - 42

繁體中文

資訊與網路技術快速成長，各種網路應用環境普及且融入人們日常生活，透過行動App可以達到互動、溝通、支付及交易等行為，搭配行動裝置的便利性，行動App已成為網路應用必備的工具。行動App依應用可區分為三種類型：無須使用身分鑑別（純功能性）、須使用身分鑑別（具認證功能與連網行為）、具交易行為等。各類型行動App取得方便，只要提供相關資料即可在多項行動裝置下載、安裝與使用，不過，台灣地區每天有超過4000多部手機中毒或遭駭客入侵，嚴重者可能造成民眾個資外洩與財務損失。為了降低使用行動App帶來的安全風險，本文蒐集App多方面資訊，以行動App安全事證為基礎，設計一套行動App安全風險評估（MASRA）程序，適時評估App的安全風險，有效協助民眾篩選高安全性的App，及時提醒民眾採取安全防範措施，保護民眾個資隱私與財產安全，避免敏感性資料外洩與財務損失。

Information and network technologies are growing rapidly, and various network application environments are popularized and integrated into people's daily lives. Through mobile apps, interaction, communication, payment, and transactions can be achieved. With the convenience of mobile devices, mobile apps have become a necessary tool for network applications. Mobile apps can be divided into three types according to applications: purely functional, with authentication function and connection behavior, with financial transaction function, etc. All types of mobile apps are easy to get. People can download, install and use on multiple mobile devices as long as you provide relevant information. However, more than 4000 mobile phones are poisoned or hacked every day in Taiwan, and severe cases may cause personal information leakage and financial losses. In order to reduce the security risks caused by the use of mobile apps, this paper collects various information about the apps. Based on the security evidence of the mobile apps, designs a Mobile Apps Security Risk Assessment (MASRA) procedures to assess the security risks of the apps in a timely manner and effectively assist the people to select high-security apps. MASRA can also promptly remind the people to take security precautions to protect the privacy of personal information and property security and to avoid the leakage of sensitive information and financial losses.

1. 金新聞稿，2020，管會推動「金融資安行動方案 」，追求安全便利不中斷的金融服務目標 ( 更新日期：2020- 08- 06) https://www.fsc.gov.tw/ch/home.jsp?id= 96&parentpath= 0, 2&mcustomize=news_view.jsp&dataserno= 202008060003&dtable=News。
2. App Store, 2021, App Store 審核指南 ( 最近更新日期：2021 年 2 月 1 日 ) https://developer.apple.com/cn/app-store/review/guidelines/。
3. Google play，2021，開發人員計畫政策。( 2021 年 3 月 1 日生效 ) https://support.google.com/googleplay/android-developer/answer/ 10477564?hl=zh-Hant&ref_topic= 9877065。
4. iT 邦幫忙，2020，行動應用基本資安規範，2020- 09- 17 https://ithelp.ithome.com.tw/articles/ 10238702。
5. O'Loughlin, K.,Neary, M.,Adkins, E. C.,Schueller, S. M.(2019).Reviewing the data security and privacy policies of mobile apps for depression.Internet interventions,15,110-115.
6. OWAS, 2020, Top 10 Web Application Security Risks, 2020, May, https://owasp.org/www-project-top-ten/.
7. Wang, Y.,Hahn, C.,Sutrave, K.(2016).Mobile payment security, threats, and challenges.2016 second international conference on mobile and secure services (MobiSecServ)
8. Wasserman, A. I.(2010).Software engineering issues for mobile application development.Proceedings of the FSE/SDP workshop on Future of software engineering research
9. Zhu, H.,Xiong, H.,Ge, Y.,Chen, E.(2014).Mobile app recommendations with security and privacy awareness.Proceedings of the 20th ACM SIGKDD international conference on Knowledge discovery and data mining
10. 行動應用資安聯盟(2017)。行動應用資安聯盟，2017，行動應用App 基本資安自主檢測制度介紹，106 年8 月。
11. 行動應用資安聯盟，2019，行動應用App 基本資安檢測基準 V 2. 1 及 V 3. 0 分類之差異說 , 2019- 03- 06 https://www.mas.org.tw/news_detail.php?id= 69。
12. 周峻佑，2020，2020 年 7 月十大資安新聞，iThome | 2020- 10- 11 。
13. 林妍溱，2021 惡意程式冒充免費 Netflix程式， 藉 WhatsApp 自動回覆功能散布，ithome 網安新聞 (iThome.COM) 。https://www.ithome.com.tw/news/ 143705
14. 科技新報，2021，熱門條碼掃描器 App 一夕間變成惡意軟體，上百萬 Android 手機遭木馬入侵，2021- 02- 09 https://technews.tw/ 2021/ 02/ 09/barcode-scanning-app-android-malware/。
15. 國家發展委員會，2019，108 持有手機民眾數位機會調查報告，中華民國一○八年八月。
16. 產業情報研究所，2016，行動 App 消費者調查，資策會，2016/ 2/ 2 https://mic.iii.org.tw/news.aspx?id= 423。
17. 資訊月，2020，你的手機 APP 安全嗎 ? 「 App 安全認證 」為你的手機安全把關！https://itmonth.blog/ 2020/ 05/ 28/。