「Pokemon GO」有风险? 手机APP漏洞多

近日在全球造成大轰动的手机游戏APP「Pokemon GO」拥有高人气,但近日勤业众信企业风险管理咨询公司副总经理温绍群指出,「Pokemon GO」可能出现资安问题,并呼吁「别让皮卡丘变成资安大盗。」

温绍群说,根据报导指出,上一代的Pokemon GO应用程序,要求用户采用Gmail认证,这可能会让软件供货商取得进入Gmail取得数据的权力,这引发使用者的资安质疑,导致新一代的Pokemon GO已经修正的这的认证机制。

勤业众信企业风险管理咨询公司总经理万幼筠指出,由于APP信息架构较传统系统复杂,且承载更多机密信息,且企业APP多半委托外部厂商开发,容易造成信息安全漏洞、成为黑客攻击目标,不可轻忽。

勤业众信风险咨询服务部执行副总经理吴佳翰则表示,目前手机APP有7到8成为免费APP,可能有过度泄露个资之虞,资安实验室可协助APP资安强度,包括是否有加密并储存在高安全度的地方以及是否取得过多不必要的个资,经济部工业局也自上半年开始针对行动应用APP,推动自主安全认证机制。

勤业众信《2016年行动应用APP之安全检测报告》建议,APP资安需靠5大招,首先,应注意行动应用程序发布的安全性,防止合法APP遭到伪冒或非法存取个资;第二,应进行敏感数据保护,以防止敏感数据以纯文本格式直接储存于数据库字段,或未进行加密传输。

第三,可透过付费资源控管资安,要求付费资源使用前需进行身份认证及主动通知使用者;第四,为了防止事务数据未进行完整性验证与防护,应设立身分认证、授权与联机安全管理机制;最后,为了防止使用具备公开弱点的程序集,或未核实用户输入数据正确性,应验证行动应用程序代码安全。

22