iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 3
1
Security

看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!系列 第 3

Day 03. 如何申請行動應用基本資安檢測,並取得證書

Day 03. 如何申請行動應用基本資安檢測,並取得證書

如何取得合格證書及認證標章

送檢測之App經由「行動應用App基本資安檢測實驗室」(以下檢測實驗室)依據「行動應用App基本資安檢測基準」進行檢測作業,並通過安全等級所須項目,取得檢測報告後,由檢測實驗室代為申請「行動應用App基本資安檢測合格證明」(以下簡稱合格證書),以及「行動應用App基本資安標章」 (Mobile Application Basic Security,以下簡稱MAS標章)。

mas

補充:找好實驗室後,通常提供一份調查表,調查表需要填寫關於 App資料,包含 APP Store / Google Play連結,哪種行動應用程式分類L1-L3 ,使用什麼函式庫等內容讓實驗室更快了解 App 內容跟如何檢測你的app

去哪找資安檢測實驗室?

資安聯盟截今(2020/09)為止所認可「行動應用App基本資安檢測實驗室」
資料來源:資安聯盟/實驗室認證通過名錄

實驗室認證編號 機構名稱 實驗室名稱 聯絡人姓名 聯絡人電話
3016 鑒真數位有限公司 鑒真數位鑑識實驗室 藍先生 (02)2517-2532#150 0928-600-788
2918 勤業眾信聯合會計師事務所 資安科技暨鑑識分析中心 陳先生 (02)2725-9988#7807
0263 中華電信股份有限公司電信研究院 測試中心 陳先生 (02)23445568#953
3102 安華聯網科技股份有限公司 資安檢測實驗室 劉先生 (02)8911-5035#371
3302 行動檢測服務股份有限公司 智能物聯網安全檢測實驗室 蔡先生 (02)8227-8077
3325 財團法人台灣商品檢測驗證中心 資通訊檢測實驗室 陳先生 (03)328-0026#559
3334 安碁資訊股份有限公司 數位鑑識中心實驗室 鄭小姐 (02)8979-6286#6704
3336 安侯企業管理股份有限公司 數位科技安全實驗室 林先生 (02)81016666#15320
1519 財團法人電信技術中心 資通安全檢測實驗室 黃先生 (07)627-7067
3500 數聯資安股份有限公司 資通安全檢測實驗室 鄭先生 (02)77008909
3496 關貿網路股份有限公司 關貿資安數位檢測中心 毛小姐 (02)26551188#755
3354 資誠企業管理顧問股份有限公司 資訊安全暨鑑識科技實驗室 唐先生 (02)27296666#23567

有批實驗室好便宜

檢測時發生的(趣事)?

找到配合的實驗室後,就是開始進行一系列的檢測,在拿到證書前,實驗室就是不斷寄給你 App 檢測不合格的報告 XD

趣事一

依照不符合規定的報告結果,進行調整修改,反覆修正
開發者就會產生實驗室就是在故意刁難你 ㄇㄉㄈㄎ的心態

趣事二

由於App 有做混淆跟加殼處理(註),有些實驗室因為無法分析/或想簡易分析就希望我們提供未加殼的 App

但我這邊會爭取實驗室應該是用我們 加殼後的App 來做檢測,畢竟加殼保護也是我們的防護措施的處理

提供加殼版本,有時又列我們Debug模式下可以.... ,這時我都會回,那你應該在我加殼的環境中看你能不能Hook

註:加殼處理,是為了防止逆向,保護程式碼跟資源,這端末之間多了一層保護。讓命令無法直接連接必須經過認證的加解密

趣事三

由於APP 有 憑證綁定 Certificate Pinning (註) 實驗室無法攔截傳輸資料,希望提供沒有憑證綁定App 讓他們驗證說這樣才不用再破憑證綁定

註:憑證綁定 Certificate Pinning :在網路連線驗證Server公鑰是否批配,預防從連線中窺視傳送及接收的資料

趣事四

同一App 版本,兩間不同實驗室產出的報告,有些許落差。

A實驗室認為沒問題, B實驗室認為有項目不符規定,雙方互相友善切磋討論(?)

取得證書後...(9/19補充)

當已經取得證書後,送檢測單位可以拿到證書外,還可以在 行動資安聯盟/App認證/App檢測通過名錄 查尋目前證書有效 的APP

之前可以查詢全部的資料,現在只能查詢到有效期間內的 APP 資訊

截圖 2020-09-19 下午3.38.14

還有更詳細內容

截圖 2020-09-19 下午3.38.48

使用者也可以查詢這個App 是否通過資安檢測的認證,或者沒有在去認證了

Note : 證書有效期間是一年

小結

這章節讓有需要申請資安檢測需求的人,了解整個資安檢測及證書取得的流程,並知曉如何尋找適合實驗室 看誰報價最便宜

小咩因緣際會所以接觸蠻多外稽單位跟實驗室,因此才會有這麼多 命苦 有趣的際遇

後面章節我們在來談談技術要求實驗室的檢測基準
這塊原先打算只挑重點介紹,因為有些檢查項目就是些規範條例,覺得沒這麼有趣
但某資安大大建議我說:『這些項目對我們來說簡單,是因為我們很熟悉,但我覺得還逐條解釋,才能完整並有系統介紹』

真心覺得大大說的很對,所以後面我們就逐條來介紹檢驗基準


上一篇
Day 02. 行動應用基本資安規範
下一篇
Day 04. 每次都找不到我要的文件,資安規範文件到底要怎麼看?
系列文
看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!31

尚未有邦友留言

立即登入留言