留言討論


分享本文至 E-mail 信箱

你的 App 值得信任嗎?檢查安全性的六大建議

智慧型手機能讓你下載安裝一些有趣、實用的 App 或軟體,不過請注意,有些 App 可能沒有你想像中的安全,可能的隱憂有二:取得你儲存在手機裡的資訊,並透過手機連網把你的資訊傳送出去。

聽起來很可怕吧?但還不只如此,有些惡意的 App 或軟體還會讓你陷入下列的安全危機:

  • 你的對話可能會在不知不覺中被監聽或錄音
  • 你的文字訊息、郵件和網站流量可能會被監控或紀錄。
  • 儲存在你手機的資料,像是通聯記錄、照片和影片等,都可能被他人取得或複製出去。
  • 你存在手機或手機本身設定的密碼都可能被竊取,再用這些密碼登入你的線上帳戶。
  • 追蹤你的所在地點,即使你把手機關機,也還是找得到你。

當智慧型手機的市佔率越來越高,惡意的 App 開始對廣大用戶造成嚴重的威脅。在《華爾街日報》一篇名為〈你的App正在監視你〉(Your Apps Are Watching You)的報導中,他們測試了一些在 iPhone 和 Android 上很受歡迎的 App,發現在他們所測試的 101 個 App 中,有 56 個會未經使用者許可將手機的識別碼傳送出去,有 47 個會將使用者的所在地傳出,還有 5 個會把使用者的年齡、性別或其他個人資料傳到許多公司的伺服器去。另外,也有個「App基因組計畫」的報告指出,Android Market 中有 28% 的 App、Apple 的 App Store 有 34% 的免費 App 有能力取得使用者所在地的資料,而前者有 7.5%、後者則有 11% 的 App 能夠得到使用者的聯絡人。

一般來說,很難辨明哪些 App 是安全的,因為這些「入侵」的行為可能都不會對使用者造成任何的干擾,所以難以察覺,像是把使用者位置資料傳到廣告主伺服器等等。對於想保有高度隱私權和網路安全需求的使用者來說,其實防不勝防。

以下有六大建議,可以幫助提升使用 App 的隱私與安全性:

一、你的手機有哪些功能是 App 能夠存取的?

手機作業系統其中一項功能就是加強安全規範。安全規範的訂定,可以限制 App 只能存取手機的哪些功能。舉例來說,只有被標示為可信任的 App,才被授予網路連線的權限,同時不需經由使用者同意就能上傳或下載資料。

安全規範有時候可從 App 的開發者能否清楚辨識來看,舉例來說,開發者有沒有在官方為自己的 App 註冊,並透過信用卡支付註冊的費用。

不同的手機作業系統,增加安全規範的方式也不太一樣,接下來將依不同的系統平台概略介紹:

Android:在Android 系統上,若無直接請求使用者授予權限,則 App 就沒有任何方式能夠存取手機的功能。App 開發者必須要預先說明該 App 將會使用到的所有手機功能,而這些說明會在你下載或安裝該 App 時出現,如果你拒絕這些請求,安裝即會失敗。

iPhone:在 iPhone 上,所有從 App Store 下載的 App 都被認為是可信任的,而且不需從使用者那邊請求授予特別權限來存取手機的功能。除非 iPhone「越獄」了,否則 App 是無法從 App Store 之外的來源端安裝的。雖然 App Store 有一定的認可流程,但卻不會檢查原始碼,而且理論上,要在 App 裡要藏惡意程式其實並不困難。

黑莓機(Blackberry:在黑莓機上,App 的權限授予由三件事決定。首先,企業安全政策,這會導致某些 App 被強迫安裝或禁止安裝。再者,開發者是否有為該 App 註冊,有無黑莓機母公司 Research In Motion(RIM)的 App 開發證明。最後,使用者決定是否授予權限。

如果一款 App 被使用者認為是可信任的,則其能夠存取該手機大部分的功能,包括連網、SMS 和地點等,且不需要再請求授予權限一次。被認證過的 App 可以存取額外的功能(加密方式與識別資訊,例如手機門號與 SIM 卡號碼)。

Java手機:像是 NokiaS40 和 S60 系列的「功能手機」(有別於智慧型手機,目前通常是指非使用 Android、iPhone OS、Symbian 或 Windows Mobile 的作業系統,卻具有多媒體應用功能的手機),上頭的 App 又可分成三類。首先,可信任的 App 都是由手機製造商或行動網路營運商所開發,通常在你拿到手機的時候就已內建其中,這類的 App 不需請求授予權限就可以存取手機的功能。其二,可識別的第三方應用程式,開發者會花大概 200 美元給類似 Verisign 的認證公司,對自己的識別碼進行認證,證明這個程式是來自於開發者,是有效力並可信任的;這些 App 必須請求授予權限來存取裝置的功能,但在安裝之後,使用者或許能夠將之設定為「每次詢問」或「永遠授權」。第三,不可識別的第三方 App,程式沒有認證簽章,因此當它們需要存取裝置功能時,每次都必須請求授予權限。

在這四種作業系統之中,Android 提供給使用者關於 App 權限相關的資訊最多,並且會強制讓所有在裝置上運行的 App 都這麼做。相較之下,iPhone 則提供極少的這類資訊給使用者,而是仰賴 App Store 的認證方式來排除具有潛在威脅的 App。黑莓機和 Java 功能手機,則為行動營運商和手機製造商端在 App 認證這方面賦予特權,但是也提供了一些資訊並賦予使用者控制權,來決定是否授予權限給這些 App。

二、這款 App 需要用到哪些手機功能?是否跟其所授予權限的請求相符?

在 Android 手機上,在安裝 App 的時候,你會被問到它所請求授予的權限是什麼,舉例來說,像是存取你的所在地或使用手機連網功能。當 App 需要存取 Java 手機時,手機會提示你授予權限,而黑莓機則允許你在安裝時個別設定權限,或一次授權給所有可信任的 App。

無論權限如何設定,你都應該密切注意某款 App 請求授予權限的手機功能是什麼。像是 FourSquare 這種適地性(location-based)的社會網絡服務,顯然就需要存取你的位置,但大多數的遊戲就不需要。同樣地,也要注意那些沒有任何理由就要求你授予連網權限的 App。

當然了,也有可能某款 App 以看似合理正當的目的,像是需要存取連網功能的聊天應用程式,向你請求授予權限,但實際上卻將獲得的權限用在不好的地方。當你決定是否安裝某款 App 時,這種可能性應該要被仔細衡量。

三、開發者是誰?

雖然無從保證,但知道是誰開發了某款 App,可以多少讓你知道風險可能為何。在安裝 App 前,先上網做些功課會比較保險。舉例來說,你可以試著搜尋看看開發者的名字和他們的網站,看起來是否合法?或任何有關該款 App 的部落格、論壇文章或新聞,或是開發者其他 App 的評價如何?是否提及了一些安全上的疑慮?

當然,如果你擔心開發者的名聲或技術品質不好,就準備找其他的替代選擇吧。

四、使用者怎麼看?

很多人用的 App 不代表它確實可以信任。雖然你認識的所有人都在用某款 App,沒用好像有點跟不上時代的潮流,但並不是每個人都具有相同程度的危機意識或安全需求。同前所提及的建議,找 App 的相關評論來看看,使用者社群成員所提供的良好、詳細且有憑有據的回應,可以讓你對自己的選擇更有信心。相反地,如果使用者社群看來沒有特別關注該款 App 安全性和隱私的問題,這也可能意味著問題其實都還未被發現。

五、原始碼是公開的嗎?

對於開始原始碼軟體的倡議者來說,開放性—具體來說,就是能夠讓公眾取得並檢閱的原始碼—是不可妥協的必要安全條件。如果每個人都可以檢閱原始碼,那麼可想而知,裡頭的惡意程式便較為無所遁形;至於安全性的疑慮,如果每個人都可以提出自己的原始碼來解決的話,可能就可以快速地解決問題。而實際上,對於 App 來說,前者比起後者更為重要。這是因為,以開發人員的立場來看,App 比起整個作業系統來說,有個額外的優勢,那就是 App 的程式是自己一包,像一個自給自足的小天地,所以開發人員只要專注在 App 本身即可,程式若有問題,也可以假設問題不會超出這個範疇;如此一來,也就比起系統更容易鎖定問題。

六、你的資料儲存和傳輸方式安全嗎?

即使是沒有惡意程式的 App,可能也會因為它們沒有安全地儲存或傳送你的資料,讓你擔負風險。這在你使用 App 來進行較私密的通訊時,尤其重要。由於評估 App 安全性時會涉及技術上的複雜度,你不妨去尋找網路上的評論,求助開發者或使用者社群,或詢問專家審查 App 的原始碼(前提是,如果它是公開的!)。

有兩點你必須要特別注意:首先, App 是否將較為敏感的資料儲存在加密的檔案中,像是密碼、聯絡人詳細資訊或私人訊息?運用的加密技術為何?有多容易會被人破解?第二,App 所使用的是否為加密通訊協定(Hypertex Transfer Protocol Security,HTTPS),或其他可加強安全性的協定?

結語

好了,總而言之,不管使用哪種 App,除了衡量 App 好不好用之外,別忘了評估安裝使用時可能帶來的潛在風險。在某些需要安全通訊的情況中,用基本的電話可能會比起用 App 來得好,因為你可能需要在使用後就丟棄它,以保持匿名。事實上,任何情況都值得提高戒心,安裝 App 可能只要彈指之間就能完成,但是完整的安全規劃,仍需要你多花一些時間評估風險。

 

資料來源:

 

封面圖片來源:Amit Agarwal @Flickr, CC lisenced.

關於作者


PanX 泛科技

PanX 泛科技新聞網從科技議題著手,企圖把未來更清楚地描繪出來。從能源議題、金融科技、生物科技,到物聯網、大數據、工業4.0、自造者,都是我們專注的內容。若有任何見解歡迎向我們聯絡或投稿:contact [at]panx.asia

留言討論


網站更新隱私權聲明
本網站使用 cookie 及其他相關技術分析以確保使用者獲得最佳體驗,通過我們的網站,您確認並同意本網站的隱私權政策更新,了解最新隱私權政策