核智安全從開發端切入，完整保護App安全

每隔一段時間就會出現提醒手機用戶儘快刪除特定App的新聞，而且頻率愈來愈高，顯見行動資安的挑戰雪上加霜。為了避免亡羊補牢造成的商譽、財務及多重損害，唯有從開發端著手並考量App的運行模式，同時保護程式本身與資料安全，才是釜底抽薪的唯一解方。

核智安全總經理林玄紹表示：「在App使用量倍速成長的同時，對App安全的認知也急遽提升。從DevOps的白箱檢測工具、主力產品appGuard的App安全保護，到規劃中的App安全戰情中心，我們不僅為App的安全保護提供了一條龍的專業服務，更有在地團隊零時差、零語言隔閡的支援陪伴。」

App安全風險複雜化

根據非營利組織OWASP（Open Web Application Security Project）的調查顯示，手機App最常見的資安問題是在開發過程沒有加入記憶體的防止偵錯能力，這會導致App運行過程及訊息內容被側錄。

其次，駭客或有心人士透過反編譯執行逆向工程，導致原始碼及弱點完全曝光，這也會衍生出正版App被二次打包成偽冒App的完整性風險。此外，App內存機密資料如帳密、個資、憑證缺乏加密，以及App到伺服器的過程被攔截的中間人攻擊，亦是常見的風險。

缺乏保護的App輕則被插入不堪其擾的廣告頁，更危險的是在頁面轉換過程被插入假頁面，誤導使用者提供個資、機敏資料或下載惡意程式。這些常見的App安全挑戰，正是核智安全自研產品appGuard的設計出發點，不僅支援目前高強度的加密標準AES-256，並已取得國際安全評估共通準則（Common Criteria）的EAL2等級認證，這也是軟體產品所能獲得的最高等級。

值得一提的是，appGuard早在2015年就進軍App安全市場並深耕至今，在台灣金融業的市占率超過50%，同時在遊戲業、電商、政府單位也多有斬獲。對於OWASP所提出的App資安問題，已有實證且成熟的多合一解決方案。

結合DevOps的層層把關

appGuard全面支援DevOps環境的先進作法，讓App在開發階段就可以執行原始碼檢測，預先確認程式碼的撰寫是否造成資安漏洞；而在封裝成產品時，則可進行黑箱測試。App正式上架前，建議使用第三方安全檢測工具如 AppTotalGo、appsweep，協助開發者快速驗證App在資安的潛在弱點或需要改進之處。

林玄紹總經理說：「App原始碼是最需要保護的標的，但保護方式將直接影響App的使用者體驗和執行效能。目前，遊戲App的下載量和使用者數量遠多於其他類型的App，當然也面臨更多的問題與挑戰，我們在此累積的專業、經驗與資源，可以遊刃有餘地運用在其他產業的App。」

以加密保護為例，常見作法是在原始碼裡加入變數字，達到「Difficult to read」的混淆效果，但原始碼不僅虛胖也會影響效能。appGuard可直接針對app進行加密保護，並在終端使用者開啟App時解密運行，無需修改原始碼就能達到「Can’t read」的最高保護等級，亦可只針對特定段落進行分段式加解密，由於步驟簡單，使用效能完全不受影響。

與時俱進應對攻擊新手法

至於最常見的防止記憶體偵錯問題，業界常見作法類似於防毒軟體，在App裡加入檢查碼進行比對，但完整執行所有檢查行為會影響App的開啟效能，若是惡意行為不符合檢查碼的規則時，就能輕易創造出一種新的攻擊手法。appGuard對原始碼加解密的作法等同於從底層做保護，徹底防堵其他任何App以記憶體偵錯的方式來窺探原始碼或手機內的機敏資料。

此外，當前有愈來愈多開發者和發行商選擇以單一平台同時開發iOS、Android雙版本App的工具，運行模式多是以App做為網頁瀏覽器，網頁一改版就會下傳新資料至App。這個作法僅需維運網頁，可減輕對外媒介管理的心力。

針對網頁傳給使用者的XML檔案，appGurad可根據指定檔案位置對下載資料持續加密，這種客製化加密位置的作法，同樣可用於App裡的檔案目錄，在核心原始碼之外進行另一層加密。更重要的是，App和XML檔案的保護通常需要兩套不同工具，但appGuard以單一工具就能同時提供兩種保護的作法，對開發者來說能用最快速的方式，降低App上架後會面臨到的資安攻擊。

從開發到使用的全程守護

採取SaaS服務形式的appGuard，支援雲端和地端兩種運行模式，開發團隊只需執行「登錄、上傳、下載」三個步驟，無需修改原始碼就能完成保護，對於頻繁改版的App而言，可說是操作最為方便快速的工具。

而在手機App被保護後，不可或缺的關鍵步驟是使用第三方安全檢測工具進行檢測，才是最完整的流程。同時支援iOS和Android，以及符合MAS或OWASP檢測項目，則是選擇工具時必須注意的條件。

除了軟體，核智安全在硬體面的投入也不遺餘力，為了避免模擬機受到網路頻寬等外在因素影響測試結果，核智安全的研發環境擁有上百支實體手機，而且會隨市場新機發表而汰換，最能涵蓋當前的終端使用者環境，而且是全台灣絶無僅有的專業服務。舉例來說，某網銀客戶的App加上appGuard的保護之後，核智安全會以上百支實體手機進行App下載、安裝、啟動等完整測試。

林玄紹總經理表示：「安全是必須持續不懈的一條龍服務，從DevOps開發環境為起點，到終端使用者狀況的監看與回應，唯有環環相扣的檢測與保護，才能確保提供安全的原始碼、安全的App與運行的安全。」