首頁 科技 天文新知

從開發者建立資安 改善根本問題

目前行動裝置太容易造成資料外洩,公司管控相當困難。(fotolia)
目前行動裝置太容易造成資料外洩,公司管控相當困難。(fotolia)

【記者方惠萱/台北報導】 行動裝置快速成長,太多的惡意程式讓實施BYOD的企業時時刻刻擔心資料外洩,或是擔心員工的裝置不安全,對企業網路造成威脅。對此,有學者提出反思,認為應該從開發者的角度落實資安教育,並非被使用者或駭客發現漏洞後才進行修補。

中華電信資安檢測團隊科長劉清雲表示,目前行動裝置太過容易造成應用資料外洩,站在公司角度管控相當困難。資安檢測團隊組長施汎勳指出,目前市面上約有12%的App存在資料庫層(SQLi)安全漏洞,尤其在新聞、生活購物與影視類別居多。

若有SQLi 漏洞,駭客只要在輸入字串的地方夾帶資料庫指令,這些指令就會被資料庫伺服器誤認為是正常的SQL指令而執行,讓資料庫遭到破壞。

此外,施汎勳也發現,多數開發者直接忽略網頁的憑證錯誤,其挑選40支金融、購物等需要會員登入功能的App進行測試,發現有3家未使用https(加密)保護,有12家出現憑證錯誤後繼續連線,約37.5%的App存在資訊洩漏風險。

施汎勳質疑,目前有多少App沒有按部就班做檢測再上線,造成使用者的安全漏洞,這些被他在短時間內找到嚴重漏洞的程式,難道開發人員檢測不到?他表示,公司新人進來,問他會不會寫程式,大多數都說會,可是問到怎麼測試程式安不安全時,就不太吭聲了。

施汎勳也對教育界提出建言,希望學校能夠在培養程式設計師時,應同時培養資安檢測能力,若能從開發者就注重資安問題,才能夠有效地改善行動裝置的資訊安全問題。◇