Professional Documents
Culture Documents
安全防治
宣導
講師 呂守箴
大綱
行動資安趨勢
智慧手機APP使用方法
LINE安全設定
智慧型手機安全檢查手法
如何判定假冒APP軟體
行動資安趨勢
行動資安趨勢
當使用者越來越仰賴iPhone、Android等智慧手機、平
板電腦,單位的安全防護網將會面臨有別於傳統的新風
險。
不只要防範鎖定手機伺機入侵的木馬和惡意程式,還得
預防遺失手機而導致資料外洩的風險。
伴隨著手機進入單位的3G網路,更是輕易跳過內網
管制的防線。傳統的防護網已經逐漸瓦解,單位必須
正視行動應用帶來的新風險,才能有效鞏固防護網。
手機帳號管理:
Android/iOS 系統的手機都需要『帳號/密碼』
才能進行進階的功能。例如:APP下載、APP更
新、儲存聯絡資料。
◦ Android Google帳號(Gmail信箱)
因此:遺失該『帳號/密碼』就等於遺失整支手
機的個人資料。
手機帳號管理:
參考網址:
Google 帳號:
https://accounts.google.com.tw
Apple ID:
https://appleid.apple.com/tw/
iCloud:
http://www.apple.com/tw/icloud/
手機帳號管理:
安全嗎?會不會被破解?
原因:
系統本身的漏洞。 長度:8~16個字上
密碼的複雜性、長度不夠。 混合英文、數字、大小寫
定期每3~6個月改一次
不可用字典上找得到的字
不可用與自己相關的數字
手機帳號管理:
當您需要驗證碼時,系統會為您產生專用驗證碼
,並透過簡訊、行動應用程式將驗證碼傳送到您
的手機,或透過語音電話直接告知您驗證碼。每
組驗證碼只能使用一次。
http://www.google.com/landing/2step/
智慧手機APP
使用方法
指應用程式 不同系統
何謂APP? APP不
(Application) 互通
Google Now
「 Google Now 」是 Android 4.1 以上系統
內建的智能助理,它和 iPhone、 iPad Siri 最
大的不同,就是 Google Now 強調主動式的資
訊建議,而 Siri 目前的強項是口語式的應答回
覆任務。
手機的身分證:手機序號
手機序號:國際移動設備識別碼(IMEI),一支
手機只有一組,等同於手機的身分證。
失竊、被盜(搶)、遺失手機序號查
詢
http://www.tcpd.taipei.gov.tw/ct.asp?xItem=9270274&ctNode=47265&
mp=108001
手機軟體定位:
手機系統內建:
◦ iOS 缺點:
• 被搜尋的手機必須『沒有關
◦ Android 機』。
• 被搜尋的手機必須GPS 或 3G
有訊號。
下載防竊APP軟體: • 找到的手機位置,『不是當下』
所在地,而是最後一次手機開
啟燈日的所在地。
手機軟體定位:iOS
需有 Apple (iCloud) 帳號。
從手機 設定 位置資訊存取
開啟『存取我的位置資訊』。
手機軟體定位:Android
從 或 設定 安全性
啟用『裝置管理員』。
手機軟體定位:Android
Android 裝置管理網面:
https://www.google.com/android/devicemanager
Google 定位紀錄:
https://maps.google.com/locationhistory/
LINE安全設定
欄位限制:姓名、電話
備份方式麻煩
沒有備援機制
資料轉換複雜
聯絡人:儲存在 手機 的資料限制
儲存在手機的SIM卡中
儲存在手機的記憶卡中
儲存在雲端中
◦ Google 的聯絡人
◦ iTune / iClund 的聯絡人
聯絡人:儲存在 手機 的資料限制
聯絡人:儲存在 雲端 :優點
資料即時更新
多台手機同步相同聯絡人
跨平台/系統也可同步相同資料
容易編輯通訊錄
手機遺失時聯絡人資料也不會不見
聯絡人:儲存在 雲端 :缺點
即時同步資料誤刪時無法復原
雲端安全性的問題
◦ 帳號就是信箱,密碼一旦被破解,即會外洩
◦ 隱私權、資料收集的問題
◦ 多帳號時管理不易
貪圖LINE免費貼圖卻洩漏個資?
既然免費為什麼不可以?
被亂加入廣告群組,發送“無聊、色情、促銷”的
簡訊通知。
LINE 會審查使用者輸入的內容
裝在本機的 LINE 會對你
輸入跟接收到的文字內容
審查(審查不分國家),而
審查是在本地端進行的,
LINE 會在網路上下載一
個敏感詞列表,之後對內
容進行比對,如果有符合
的內容,就會出現錯誤(
僅在中國大陸顯示)。
審查關鍵字列表:
http://pastebin.com/
DA4qAFZv
評估風險再決定使不使用!
應該這麼說,這是一個跨國的企業、
韓國的公司、日本發行、台灣代理。
並非完全不能使用Line,而應該是說想用這種通訊軟體,
就必須知道它的風險。
了解它所造成的影響再根據自己能接受的風險(被側錄、過濾
、詐騙簡訊、違法貼圖),再決定使不使用。
如同前一陣子討論公務機關到底開不開放使用MSN、
雅虎奇摩即時通等通訊軟體一樣,需要事先評估資安風險。
註:Line 有提供『電腦版(桌面版)』可以安裝,也須評估資
安風險。
調整 iPhone/iPad 相關設定:
關閉吵死人的『通知』
調整『一般』的設定
調整『隱私』的設定
調整『郵件、聯絡資訊、行事曆』的設定
調整『訊息』與『FaceTime』的設定
調整『Safari』的設定
關閉吵死人的『通知』
關閉APP軟體的通知
保留通知但關閉提示聲音
調整『一般』的設定:
「自動鎖定」與「密碼鎖定」
調整『隱私』的設定:
調整「定位服務」與「聯絡資訊」
調整『郵件、聯絡資訊、行事曆』的設
定:
調整「預覽」
調整「顯示標籤」與「載入遠端影像」
調整『訊息』與『FaceTime』的設定:
調整『訊息』與『FaceTime』
調整『Safari』的設定:
調整「隱私權」與「安全性」
智慧型手機安全檢查手法
如何判定假冒APP軟體
Android 防毒軟體
智慧型手機功能日益強大,就像是隨身帶著走的小
型電腦。
功能越多、效能越強,加上手機內存有大量個人相
關資訊,後果就是惡意軟體的出現。加上Android
系統的開放態度,能夠安裝非Google Play應用程
式集裡的程式,使得惡意軟體更容易隨著程式侵入
手機⁄平板。
Google雖然在Android 4.2之後新增了驗證應用程
式功能,在安裝時能夠自動掃描檔案,但似乎偵測
率不佳,還是需要依賴第三方程式來幫忙。
Android 防毒軟體評測
AV-TEST 於定期對於 Android 系統安全防護軟體
的報告。
參考網址:http://www.av-test.org/en/tests/mobile-devices/android/
http://www.pccillin.com.tw/product-tmms.html
iOS 防護程式
iOS 防毒軟體、防火牆 APP:無或功能不完善(
缺乏掃毒與偵測機制)
iOS 弱點檢測軟體:摩貝密盾
行動裝置安全須知
使用未加密開放式無線網路、勿傳輸個人資料。
不下載或試用來路不明的第三方APP。
安裝APP時請詳細閱讀授權要求,勿盲目同意下
載。
安裝行動裝置的資安APP軟體
iOS iPhone/iPad系統更新
防範軟體相容
性的問題與安
全性漏洞。
『記得更新』
APP 軟體更新
不管是”Android”還是”iOS”作業系統,由於
APP軟體都會有瑕疵,會引起當機、中毒、漏洞
,所以都需要做 APP 軟體更新。
APP 軟體更新
Android iOS
點選 點選
下載”更新” 更新
行動裝置資通安全注意事項:
行動裝置存在資安威脅徵兆
1. 電池壽命變短
2. 通話經常不尋常中斷
3. 電信費用異常
4. 自動下載軟體
5. 手機效能變差
行動裝置資通安全注意事項:
行動裝置資安防護建議
1. 軟體下載與使用
◦ 僅安裝來自可信任來源之軟體
◦ 注意軟體安裝時所要求之權限是否合理
◦ 定期進行軟體更新或修補作業
◦ 安裝資安防護軟體
2. 資料保護
◦ 注意資料備份與加密防護
◦ 安裝具「可遠端定位並進行資料清除」功能的資安
軟體
◦ 注意廢棄行動裝置之資料處理
行動裝置資通安全注意事項:
行動裝置資安防護建議
3. 連線功能設定
◦ 小心使用公開的無線Wi-Fi網路
◦ 小心使用藍芽(Bluetooth)功能
◦ 小心使用全球定位(GPS)功能
◦ 小心使用近場通訊(NFC)功能
4. 設定行動裝置密碼自動鎖定功能
5. 其他
◦ 請勿修改或破解行動裝置之安全措施
◦ 請勿利用行動裝置進行重要交易行為
結論
行動資安趨勢
智慧手機APP使用方法
LINE安全設定
智慧型手機安全檢查手法
如何判定假冒APP軟體
• 講師: 呂守箴
• E-Mail:shooujen@gmail.com
• 網路攻防戰:
• 部落格:http://anti-hacker.blogspot.com
• FB粉絲團:https://www.facebook.com/NetWarGame
G+專頁:https://plus.google.com/u/0/118062628172252352420
• Youtube影片頻道:http://www.youtube.com/user/openblue
• 網路直播頻道:http://zh-tw.justin.tv/openblueTV