【大纪元2014年08月24日讯】(大纪元记者方惠萱台湾台北报导)行动装置快速成长,太多的恶意程式让实施BYOD的企业时时刻刻担心资料外泄,或是担心员工的装置不安全,对企业网路造成威胁。对此,有学者提出反思,认为应该从开发者的角度落实资安教育,并非被使用者或骇客发现漏洞后才进行修补。
中华电信资安检测团队科长刘清云表示,目前行动装置太过容易造成应用资料外泄,站在公司角度管控相当困难。资安检测团队组长施汎勋指出,目前市面上约有12%的App存在资料库层(SQLi)安全漏洞,尤其在新闻、生活购物与影视类别居多。
若有SQLi 漏洞,骇客只要在输入字串的地方夹带资料库指令,这些指令就会被资料库服务器误认为是正常的SQL指令而执行,让资料库遭到破坏。
此外,施汎勋也发现,多数开发者直接忽略网页的凭证错误,其挑选40只金融、购物等需要会员登入功能的App进行测试,发现有3家未使用https(加密)保护,有12家出现凭证错误后继续连线,约37.5%的App存在资讯泄漏风险。
施汎勋质疑,目前有多少App没有按部就班做检测再上线,造成使用者的安全漏洞,这些被他在短时间内找到严重漏洞的程式,难道开发人员检测不到?他表示,公司新人进来,问他会不会写程式,大多数都说会,可是问到怎么测试程式安不安全时,就不太吭声了。
施汎勋也对教育界提出建言,希望学校能够在培养程式设计师时,应同时培养资安检测能力,若能从开发者就注重资安问题,才能够有效地改善行动装置的资讯安全问题。◇
责任编辑:吴明芳
