行動通訊技術快速發展,民眾對智慧手機使用的依賴度也隨之提升,智慧型手機因而更加普及,各式行動應用軟體已成為民眾生活的必需品。然而面對現今科技日新月異,萬物聯網的時代,駭客的入侵技術也愈加多變,這些通訊、遊戲、影音或社群等隨手可下載的App,都可能潛伏著駭客惡意攻擊或竊取個資等資安危機,小則影響個人,大則影響企業營收損失,身為App重度使用的我們,對於App資安認證標章的認知不可不知。
【世界唯一的App資安認證標章】
有鑑於民眾對App使用所帶來的個資保護等資安風險,經濟部工業局召集國內資安相關領域專家,依循國際相關資安規範,並於105年完成「行應用App基本資安自主檢測推動制度」、「行動應用App基本資安檢測基準」及「行動應用App基本資安規範」,協助指引App開發商於產品研發階段導入資安概念,並App開發完成後,必須通過嚴謹的App資安檢測程序,方能取得「行動應用App基本資安標章」(Mobile Application Basic Security,以下簡稱MAS標章),現階段全世界尚無完整的App資安認證機制,台灣正引領趨勢走在前端。
【認識MAS標章】
據現行的「行動應用App基本資安檢測基準V3.1」公告,MAS標章依App類別主要區分為L1、L2、L3三種類型,並因應App版本快速更新,每個標章有有效期限為1年,一旦標章過期,則必須再次進行資安認證檢測:
資料來源:行動應用資安聯盟 https://www.mas.org.tw/main.php
- L1:無需使用者身份鑑別之App。此類型App結構最為簡單,無任何使用者身份登入及交易行為功能,屬於工具型的App, 如計算機、時鐘、手電筒、捷運路線等App。
- L2:需使用者身份鑑別之App。此類型App擁有使用者身份登入功能,但無涉及任何金錢交易作業,而身份登入具牽涉索取個資行為,已構成駭客可能竊取的目標,因此在App資安檢測作業中較為嚴謹,如健保快易通、臺灣社交距離等App皆屬之。
- L3:含有交易行為之App。此類型App不僅擁有使用者身份登入,亦有線上金錢交易功能,為駭客最常鎖定的目標,因此在App資安檢測作業中最為嚴謹,如高鐵行動購票、Uber Eat、foodpanda等各式線上點餐、網購及叫車等App皆屬之。
【總結】
現今因應疫情影響,民眾多依賴線上購物及行動支付服務,App線上交易已成為生活常態,因此,資訊安全也更為重要,政府政策方面,金管會已強制各銀行金融類App必須取得L3標章外,亦鼓勵App開發業者自主將App送資安檢測,提升App使用環境的安全性。除了政策推動外,民眾更需要提升自身的資安意識,如避免使用來路不明的App、選擇使用具有MAS標章的App,降低資料外洩或財產損害的機率。