普遍存在之行動裝置應用程式漏洞

江格；黃昌平；高培晟；王勝德

App應用程式 ； 行動裝置漏洞 ； SSL加密傳輸協定

資訊安全通訊

20卷4期（2014 / 10 / 01）

1 - 8

繁體中文

隨著科技及網路傳輸的發展，利用手機與無線網路進行資料交換、傳播，甚至商業資料的傳輸，如網路銀行、電子下單與購物網站已日漸普及，在此同時，敏感資訊傳輸的安全性成了重要的課題，以求兼顧科技帶來的便利性與安全性的平衡。由於多數App應用程式為廠商自行開發或外包，因此邁向資訊安全將是一條充滿挑戰的道路。儘管各類手機App的資安問題不勝枚舉，我們將以常見的傳輸加密（SSL）為例，以實例證明政府或銀行等大型組織所發佈之App軟體並未正確執行SSL加密傳輸協定，將可能造成極嚴重的個資外洩。因多數應用程式App開發者沒有資安背景，造成手機應用程式類似的漏洞為數眾多，我們希望藉此機會提醒資安人員正視此類問題的普遍性及嚴重性，除了防止個資外洩，也保護組織的敏感資訊，我們最後會針對此類問題提供有效建議、稽核方針與解決方案。

1. Mozilla Firefox Privacy Policy, Mozilla Foundation, 27 April 2009..
2. "SSL/TLS in Detail," Microsoft TechNet, http://technet.microsoft.com/en-us/library/cc785811.aspx.
3. E. Lawrence, "HTTPS Security Improvements in Internet Explorer 7," MSDN. 31, January 2006..
4. P. Eckersley and J. Burns, "An observatory for the SSLiverse," In DEFCON, 2010.
5. HTTP over TLS, http://www.ietf.org/rfc/rfc2818.txt, 2000.
6. "The Secure Sockets Layer (SSL) protocol version 3.0", http://tools.ietf.org/html/rfc6101, 2011.
7. "Description of the Secure Sockets Layer (SSL) Handshake," Support Microsoft, http://support.microsoft.com/kb/257591.
8. "Internet X.509 public key infrastructure certificate and certificate revocation list (CRL) profile," http://tools.ietf.org/html/rfc5280, 2008.
9. Claessens, J.,Dem, V.,Cock, D. D.,Preneel, B.,Vandewalle, J.(2002).On the Security of Today's Online Electronic Banking Systems.Computers & Security,21(3)
10. Felt, A. P.,Ha, E.,Egelman, S.,Haney, A.,Chin, E.,Wagner, D.(2012).Android permissions: User attention, comprehension, and behavior.Proceedings of the Eighth Symposium on Usable Privacy and Security
11. Georgiev, M.,Iyengar, S.,Jana, S.,Anubhai, R.,Boneh, D.,Shmatikov, V..The most dangerous code in the world: validating SSL certificates in non-browser software.Proceedings of the 2012 ACM conference on Computer and communications security