[時事心得] 行動應用 App 自主安全認證機制

看這則新聞,我實在不想去猜想設置一個檢驗標章的背後意義,但也許可以回歸基本問題,「如何幫使用者把關App的資訊安全?」。
關於問題「如何幫使用者把關App的資訊安全?」,政府提出的解決方案是「建立App與Server的資安認證制度」,那認證制度是否可以有效幫使用者把關呢?我們先看看幾個客觀事實,
  1. 依據148Apps.biz統計 [1],目前(Apple) App Store平均每天有1585個App上架。另外依據AppBrain統計 (本文取用資料日為8/15) [2],Google Play在7/15~8/15間,平均每天有834個App上架。兩個平台總計平均每天有2419個App上架。
  2. 依據經濟部工業局「行動應用App基本資安自主檢測推動制度」V1.0 [3]內容,提到App版本更新時,需要重新送驗。
  3. 檢測需要付費(自主檢測推動制度之費用包含申請費、認證費、證書費、檢 測費、檢測合格標章授權費),可參見 [3]
  4. 從台北市要求Google Play付費應用需有七天鑑賞期一例推論 [4],政府對於Google Play或App Store的干涉能力有限
從以上幾點可以思考看看,「幫使用者把關App的資訊安全」這問題能不能被解決?或者說,政府提出的解決方案可行嗎?
以下提出幾個問題,
  1. 每天上架的App量高達2000個以上,要用多少的資源才能驗證每天上架到Google Play及App Store的App沒有問題?
  2. 每次App更新都要重新送審,如果每次重新送審都要付費,會對開發商與檢測實驗室產生多少成本壓力?
  3. 在講究敏捷開發、精實創業,做產品是快速驗證、快速學習,每次認證程序的所需耗費的時間有多少?
  4. 如果未來資安檢驗成為App上架的規範時,個人開發者要上架App時,是否也要經過相關資安認證?是否考慮過認證對個人的創意展現及個人開發者的衝擊?
  5. 在政府沒有足夠的能力干涉國外開發商上架或外商App平台的狀況下,能幫助使用者遠離危險App的程度有多少?
上述幾個問題,如果沒有好的解答,那如何透過一個認證就讓使用者遠離資安威脅,或許可以降低一些風險吧,但降低的那一些些風險是否值得用這麼大的資源去做呢?這樣做又能不能有效協助使用者辨識資安威脅呢?
目前App市場上,大家認知到的資安問題,頂多就是被蒐集資料或者信用卡盜刷,但前者對一般人來說不痛不癢(看看Google蒐集了多少資料),尤其台灣詐騙集團猖獗,多數人應該預期自己資料都不知道被轉第幾手了; 後者則是跟作業系統安全性也有關係,且被盜刷時很容易察覺,銀行也已經有一套完善的程序可以幫使用者處理盜刷問題,頂多就是被困擾一下而已。
沒有太痛的點,又怎麼喚起大家對資安問題的重視?
目前只看到App資安,其實實體裝置的資訊安全也是很重要的事情,例如,之前多款網路路由器產品被提出有設置後門的狀況,
[國際] Cisco、Linksys與Netgear的無線路由器存有後門
另外,前年鬧得很大的聯想電腦暗藏後門程式,
聯想電腦傳遭情報單位禁用,暗藏後門之說眾說紛紜
所以我們關注的不應該只是App安全,實體裝置的安全也很值得討論。
從這部分來看,我認為更適合的走向,是把範圍擴大一點來看,在未來物聯網的時代中,資訊安全問題就會是大家非常在意的點,因為硬體裝置與人類的實體生活連結會更為緊密,這也表示更多現實生活有機會遭到侵害,如:

  • 「門鎖裝置」如果很容易被破解,那家裡就很容易被闖空門了。
  • 「居家醫療照護裝置」如果被入侵,那自己的病歷資料就可能洩漏,如果這個裝置兼具簡單醫療行為時,更可能侵害生命。
  • 「搭配視訊監控的室內環境控制器」如果被入侵,會不會自己出門時,冷氣被惡意開啟,耗了一堆電?會不會被亂開啓瓦斯,引發火災等公安問題?會不會視訊監控內容被竊取,生活起居被放送給大家知道?
在這種享受物聯網產品的便利時,類似的資訊安全問題還會不重要嗎?當物聯網裝置真的入侵生活時,如果資安問題無法被解決,大家就會真正了解到資安的價值與重要性。
我認為應該朝幾個方向去努力,
  1. 民眾端部分,政府可以持續宣導資訊安全要注意的事項,也可以透過相關檢測機構,定期發表當紅App的資訊安全分析,並且建立一套資安教戰守則。
  2. App開發者端,政府可以建置網路上的程式開發者論壇,邀請許多專案開發人員一起加入,分享自己在產品中如何處理資訊安全的問題,這樣可以聚集開發人員互相討論,也可以讓資安技術知識有效散佈並傳承。
  3. 產業界與學術單位部分,政府可以鼓勵相關單位用開源模式來開發自動化資安檢測工具,除了可以提供給業主與開發商快速的資安檢測外,也因為開源模式得以讓全球開發者一起來幫忙加強該工具的強健性。
  4. 作業系統開發端,政府可以從源頭處理安全性問題,有些時候問題不在於App不安全,而是作業系統已經有弱點了,所以政府可以加強鼓勵發展以安全性為基礎的物聯網作業系統,也可以為未來的物聯網時代佈局。
用鼓勵與教育取代監管,很難嗎?

發佈留言