手机APP漏洞多 勤业吁别让皮卡丘变成资安大盗

勤业众信风险管理咨询公司副总温绍群呼吁，「别让皮卡丘变成资安大盗」。(业者提供)

勤业众信联合会计师事务所18日发布《2016年行动应用APP之安全检测报告》，勤业众信企业风险管理咨询公司副总经理温绍群指出，现在当红的手机游戏APP「Pokemon GO」可能出现资安问题，并呼吁「别让皮卡丘变成资安大盗。」

温绍群说，根据报导指出，上一代的Pokemon GO应用程式，要求使用者采用Gmail认证，这可能会让软体供应商取得进入Gmail取得资料的权力，这引发使用者的资安质疑，导致新一代的Pokemon GO已经修正的这的认证机制。

勤业众信企业风险管理咨询公司总经理万幼筠指出，由于APP资讯架构较传统系统复杂，且承载更多机密资讯，且企业APP多半委托外部厂商开发，容易造成资讯安全漏洞、成为骇客攻击标的，不可轻忽。

勤业众信风险咨询服务部执行副总经理吴佳翰则表示，目前手机APP有7到8成为免费APP，可能有过度泄露个资之虞，资安实验室可协助APP资安强度，包括是否有加密并储存在高安全度的地方以及是否取得过多不必要的个资，经济部工业局也自上半年开始针对行动应用APP，推动自主安全认证机制。

勤业众信《2016年行动应用APP之安全检测报告》建议，APP资安需靠5大招，首先，应注意行动应用程式发布的安全性，防止合法APP遭到伪冒或非法存取个资；第二，应进行敏感性资料保护，以防止敏感性资料以纯文字格式直接储存于资料库栏位，或未进行加密传输。

第三，可透过付费资源控管资安，要求付费资源使用前需进行身份认证及主动通知使用者；第四，为了防止交易资料未进行完整性验证与防护，应设立身分认证、授权与连线安全管理机制；最后，为了防止使用具备公开弱点的程式集，或未核实使用者输入资料正确性，应验证行动应用程式码安全。