New │ 建立第三方智慧手機資安檢測實驗室,協助檢測市售手機及推動App資安規範訂定。
Impact │ 協助業者強化資安防護能力,並提升產品與服務的安全性。
Key │ 運用國際測試標準,建立智慧型行動裝置安全檢測框架、流程與方法。
Evidence │ 成立新創衍生公司,帶動資安產業群聚發展。
2014年底,國際娛樂界最受注目的焦點,莫過於好萊塢女星使用蘋果iCloud服務密碼被盜取,造成私密照片外流。此事件凸顯近幾年來,人們使用手持式行動裝置內含的應用程式日益增加,資訊安全風險也逐漸提高。行動裝置惡意程式與高風險的App程式數量,在2014年第一季便已達200多萬個,如何妥善保存與 保護使用者的個人資料,顯得更為重要。
為滿足國際客戶對資安議題的要求,國內網通與手機廠商在出貨前須提出檢測證明,但對廠商而言,資安是另一個新領域,內部因應能力相對薄弱、需要協助。對此,資策會以多年豐富的資安檢測技術、經驗及能力,藉由系統安全評估實驗室(Security Evaluation and Assurance Lab, SEAL)團隊,於2013年開始為國內網通大廠執行嵌入式設備軟硬體資安檢測,逐步將檢測與服務範圍深化至手機裝置、行動應用領域。同時陸續與國內知名智慧型行動設備製造商進行洽談,成為國內廠商的資安合作伙伴,更為政府機關業管範圍之智慧型行動裝置產品進行安全把關。
以駭客思維 進行資安檢測
這項服務就像健康檢查,為智慧型行動裝置及行動應用程式進行檢測,挖掘資安潛在風險,而資策會主要參考國際知名開放網路軟體安全計畫(Open Web Application Security Project, OWASP)所發布之「Top 10 Mobile Risks」,以及美國國家標準技術研究所(National Institute of Standards and Technology, NIST)所發布之「NIST(SP)800-163,Vetting the Security of Mobile Applications」,發展智慧型行動裝置安全檢測框架、流程與方法。引用國際成熟自動化工具及研發自有檢測工具,透過熟悉多樣檢測工具,由具多年滲透測試經驗人員,以駭客思維為角度進行相關檢測。
資策會於2014年底協助經濟部工業局,針對非手機內建之共通性及非特定領域App基礎安全要求,進行手機App軟體基本資安規範草案之研議。已初步完成經國內App業者與專家認可的5大項與17小項之資安技術要求。將朝向推動產業發展為的,鼓勵App開發者自主參考與管理,並透過資訊公開,以消費者力量強化App產業的安全意識。
強化產品資安品質 提升競爭力
資策會所建立的智慧型裝置與行動應用程式資安檢測服務,已接受國際知名智慧型手機品牌廠商HTC公司委託,提供新款智慧手機資安測試與資安顧問服務,協助檢測與驗證手機新產品資安問題。國際知名網通設備品牌廠商友訊科技(D-Link)亦委託資策會針對其開發的Android應用程式進行安全性驗證,提升Android應用程式的安全性。聯合信用卡處理中心於2014年推出安裝於智慧型行動裝置相關金流支付軟體,為確保行動裝置上的軟體與後端金流支付作業的安全性,亦委由資策會針對其提供的智慧型行動裝置與其應用程式進行安全性測試。
此外,資策會與政府單位積極攜手合作,協助國家通訊傳播委員會與行政院消費者保護處,針對市售熱門智慧型手機進行資安檢測,產出定性風險評估結果,透過政府力量要求廠商改進,確保使用者個人資料的安全性。
為落實研發成果商轉,資策會資安科技研究所SEAL團隊,已累積為臺灣資通訊產品製造商,提供第三方獨立資安檢測服務之豐富實戰履歷,於2014年10月1日正式成立新創衍生公司安華聯網科技股份有限公司,以帶動產業群聚效應、
發展行動化資安檢測技術與服務。
資策會期待能持續透過智慧型行動裝置與行動應用程式資安檢測服務,與業學界交流合作,積極參與相關國際資安組織,建立與國際接軌之檢測規範,提升資安檢測的質與量,創造MIT App產業資安水準。
Future Vision
資安檢測服務就像身體健康檢查,為智慧型裝置及行動應用程式把關,提升產品安全性與品質,避免個人資料外洩,讓使用者悠遊虛擬網路,無後顧之憂。