行動應用程式(Mobile application,簡稱Mobile app、App),或稱手機應用程式、行動應用、手機App等,是指設計給智慧型手機、平板電腦或其他行動裝置運行的應用程式。
使用者可透過無線網路連上行動應用程式商店下載使用行動應用程式,不同的行動作業系統皆有專屬的行動應用程式。
目前主流的行動裝置作業系統:
- Android
- iOS
- Windows
- BlackBerry OS
行動應用程式商店除了可透過網頁瀏覽器如同網路商店般瀏覽與交易外,通常亦製作專屬的App,讓使用者能一鍵進入,介面也較網頁更方便。
首先採用此商業模式的廠商是蘋果電腦公司針對其行動裝置iPhone、iPad經營的「App Store」。之後Google也隨其行動作業系統Android一同推出自行經營的App商店「Google Play」。App Store以及Google Play是目前營收和下載量的前兩大App商店。其他App商店有微軟公司的「Windows Store」、黑莓公司的「BlackBerry World」與亞馬遜公司的「Amazon Appstore」等。
App Store
App Store是蘋果公司為其產品建立和維護的數位化應用發行平台,允許使用者瀏覽和下載行動應用程式,其中包含遊戲、日程管理、詞典、圖庫及許多實用的軟體。
Google Play
Google Play是由Google為Android所開發的數位化應用發布平台,包括數位媒體商店。它作為Android操作系統的官方應用商店,允許用戶瀏覽和下載使用Android SDK開發並通過Google發布的應用程式。
Windows Store
Windows Store是微軟公司經營的行動應用程式商店,允許程式開發商在此發布應用程式。用戶可在此購買所有Metro UI應用程式及部份傳統應用程式、現代化應用程式,是所有Metro UI應用程式和大部份現代化應用程式向用戶推播的唯一管道。
BlackBerry World
BlackBerry World是由黑莓公司創建的服務,允許用戶瀏覽和下載一些由第三方開發商開發的應用程式。用戶可以購買或免費試用,讓該應用程式直接下載到部分BlackBerry手機中。
Amazon Appstore
Amazon Appstore是一個基於Android系統開發的行動應用程式商店,為亞馬遜公司所經營。Amazon Appstore還有試用的功能,用戶可在瀏覽器上通過Amazon EC2雲試用一款程式半個小時。
行動應用的市場
根據行動程式分析暨行銷機構App Annie的統計,2016年全球行動應用程式的下載量超過了900億,比2015年增加了15%,使用時間達到9000億個小時,比2015年增加25%,至於行動應用程式開發商的收入則超過350億美元,成長40%。若再加上第三方Android行動應用程式商店及廣告收入,那麼行動應用程式開發商的收入則接近890億美元。
行動應用的資安風險與防護
隨著行動環境持續演化,新的漏洞與威脅也隨之誕生,原因在於,行動應用程式開發者缺乏行動領域的專業,往往將傳統應用程式的開發模式套用在行動領域,只著重功能而忽略了安全性,常會忽略了資安上的管控,造成負面影響。
開發行動應用程式時,應自我檢視下列面向,進行App的風險識別:
- 行動應用程式發佈安全
- 敏感性資料保護
- 付費資源控管安全
- 使用者身分認證、授權與連線管理安全
- 行動應用程式碼安全
為何行動裝置的資安風險需要特別重視?首先,這類裝置及其中包含的所有敏感資料,失竊或被偷的機率都比較高。第二,新近崛起的攻擊型態都是利用行動裝置。惡意軟體可以透過被安裝在相鄰設備中來獲得敏感資訊,電子竊聽可攔截以無線網路方式在應用程式與組織間傳送的資料。駭客還能藉由重新包裝應用程式,加入惡意程式碼後重新載入到應用程式商店,這種作法在銀行業的應用程式中相當常見。
利用下列方法,能加強App的資訊安全:
鎖定應用程式授權
行動應用程式之所以能與裝置韌體及硬體進行互動,是因為在安裝或使用時取得了使用者的授權。連結行動裝置的相機或麥克風可能對使用者增加了使用上的便利性,但也增加了安全風險。在企業使用上,應將每種應用程式的授權範圍縮到最小,只授權給工作上有需要的對象。
別只依賴客戶端查核
使用者身分與應用程式完整性的驗證,不應該由客戶獨自負責。駭客能輕易繞過這些檢查,存取應用程式中儲存的敏感企業資料。應該從伺服器端加以控制來進行應用程式認證。如果資訊真的極度敏感,則應同時進行行為與情境檢查,例如檢查試圖登入者的所在地點。
利用第三方技術並持續測試
應評估什麼是處理行動應用程式安全的最佳方式,可考慮尋求外援來建立安全程式碼架構。不論是自行處理或尋求外部支援,都應利用第三方應用程式安全測試工具,在部署應用程式之前加以測試。
強化應用程式
反向工程(Reverse Engineering)已成為一種相當普遍的技術,透過惡意程式碼暴露系統細節資訊並重新包裝應用程式。為防範這類行徑,一開始就要使用第三方工具進行軟體混淆(Obfuscation),讓駭客難以了解應用程式內容。
定期執行健檢
資訊安全是一個必須長期關注的問題,因此要常常進行平台健檢來找出弱點。不過還是要注意使用者隱私的問題,因為執行裝置健檢的行為涉及界線的劃分,有可能被認為是跨越界線的一種侵犯隱私行為。
2017行動應用的發展趨勢
隨著消費者越來越依賴行動設備,他們需要快速地、輕鬆地使用應用程式,未能為客戶提供卓越的行動體驗,將成為企業的缺憾,2017年更多的企業將投資行動應用技術,藉以幫助增加銷售業績、改善客戶體驗和強化市場競爭力。
根據Businessapps.com的預測,2017年行動應用發展趨勢包括:
基於位置的服務將繼續高漲
基於位置的服務(Location-Based Service,LBS)又稱行動定位服務,透過GPS取得行動用戶的位置訊息(地理坐標),為用戶提供在地服務的。2017年被更廣泛應用於不同的領域,包括提供個人化的天氣訊息和在地化的遊戲等。
將開始採用擴充實境
擴增實境AR(Augmented Reality)可以在螢幕上把虛擬世界和現實世界產生互動,目前在iPhone、Android和Windows Phone手機上,已經出現不少的擴增實境的應用。隨著隨身電子產品運算能力的提升,預期,2017年應用程式的擴增實境用途將會越來越多和越來越廣。
Android的即時應用程式將一炮打響
Android Instant Apps簡化了Android用戶行動程式的使用流程,用戶只要點選來自搜尋、社群媒體或訊息內容的連結就能執行程式,而不必事先安裝它。開發人員並不需要另外開發一個新程式,只要修改Android程式使其相容於Android Instant Apps即可。
投資物聯網行動應用是安全的賭注
目前物聯網應用,較著重於透過智慧手機、平板電腦和穿戴裝置,來做智慧家居(Smart Home)的應用服務。2017年運用物聯網技術可發展出更多跟日常生活有關的應用,舉凡食衣住行,也涵蓋到居家照護。2017年行動應用其他發展趨勢還有,企業增加行動應用安全防護和更多的中小企業店家共襄盛舉等。
