原标题:Line确保App安全3大战略
Line首度在日本总部举办一个资安高峰会,这也是该公司第一次针对Line App的各种资安保护措施,以及未来的资安应用趋势,正式对外公开相关讯息。
图片来源:Line
全台湾人手一支智慧型手机,但要问哪一个App是大家手机内一定要安装的程式,十个台湾人应该有九个人跟你说是Line。毕竟,通讯软体的使用就是要用的人数众多,使用者才会更活跃,当大家都使用Line作为网路即时通讯的工具时,也同样会迫使其他人,不得不跟上使用Line做为即时通讯软体的这股风潮。
根据Line的官方统计资讯,目前在台湾Line使用者高达1,800万人,而全球每个月的活跃使用者更超过2亿人。
因为这是针对普罗大众的即时通讯App,许多人也因为没有留心正确的资安防护观念,轻信使用者端的另外一个人,也使得Line在台湾包括日本在内,也经常发生一些帐号遭到盗用或者是遭到有心人利用Line进行诈骗,甚至是透过点选恶意连结,以至于下载不安全的应用程式等等。
为了解决Line在资安上面临使用者的种种挑战,该公司也一步步从通讯管道加密做到内容加密,甚至于,Line资安长暨隐私长中山刚志表示,为了要克服Line使用者帐号的种种安全性议题,也计画在未来採用FIDO(Fast IDentity Online)联盟所制订的生物验证技术标準,他则希望,这样的FIDO推出的生物辨识的技术标準,未来可以用于确保Line App的安全性上,甚至也可以用于其他像是Line积极耕耘的物联网领域以及相关的行动支付,例如Line Pay等服务的安全性上。
从三面向确保Line App的安全性
Line近年来也陆续从App及服务的安全性、安全的软体开发生命周期,以及国家及区域的安全治理等三大面向,来打造Line的安全性。
中山刚志表示,Line针对一般消费者(B2C)以及针对企业用户及其客户(B2B2C)都提供不同的平台与服务,如何确保相关服务具有一定的安全性,是该公司在提供相关服务时,所具备的基本底线。
再者,为了确保Line App本身是安全的,他指出,Line很早就开始导入安全软体开发生命周期(SSDLC)机制。
中山刚志表示,从软体规画、设计、导入、品质控管和修正版本释出后,这一整个新的安全软体开发生命周期的循环,就可以做到让Line App本身具有一定的安全性,也可以确保Line提供服务的安全性。
最后,则是国家和区域的安全治理,中山刚志表示,目前Line在韩国、日本、台湾和泰国等国,都有大量的Line使用者,符合当地国和日本的法规等等,并确保使用者的帐号安全,都是Line的重要任务之一。
以安全的软体开发生命周期为例,中山刚志表示,这对于软体和App公司而言,是落实资安的基本功夫,在软体设计之初,就必须要做到安全的设计(Secure By Design)和隐私的设计(Privacy By Design);而在软体导入阶段,就必须进行源码检测(Security Code Check);在品质控管阶段就必须进行风险评估,确保没有重大的风险没有看到。最后,在整个版本完成安全的软体生命周期之后,就会释出一个修正过的安全软体版本。
为了让Line App更安全,中山刚志表示,Line成为全日本第二个推出漏洞奖励计画(Bug Bounty Program)的公司,相较于美国,这样的漏洞奖励计画在日本并不盛行,但是,「Line希望可以结合更多白帽骇客的力量,让Line成为一个更安全的App。」他说。
个人资料与隐私的保护是Line非常重要的使命,该公司也从技术层面、法规遵循层面以及提供相关的参考指南等三方面来着手进行。(图片来源/Line)
透过机器学习机制打造智慧平台
许多Line使用者也会遭遇到垃圾帐号骚扰或帐号遭到滥用的情况,中山刚志指出,目前Line也採用机器学习(Machine Learning)的方式,设定垃圾讯息的过滤规则,包括设定规则或者是启发式的规则等,藉由过滤垃圾讯息或者是遭到滥用的Line帐号,先确保Line使用者帐号安全性。
另外,Line也提供检举垃圾广告或色情讯息的功能,让这些骚扰讯息可以回传Line公司的客服中心进行分析,确认骚扰事件属实时,将会暂停该使用者的Line帐号。
「Line的目标是希望成为使用者心目中安全的智慧平台(Smart Portal),」中山刚志表示,最终希望让每个网路使用者,都可以透过这个Line平台,随时随地、安全的存取到所需要的个人、公司、服务以及品牌。
针对端点及内容加密,确保Line个人通讯隐私
如何保护Line使用者的隐私与个人者资料安全,也是Line在资安上非常重要的环节之一,Line会从技术层面、法规遵循层面,以及其他的参考指南等面向来着手进行。
从技术面上来看,Line已经可以做到使用者端的讯息加密功能,不论是一对一聊天,或者是50人内的聊天群组,甚至是一对一的网路语音、视讯的端对端的通讯方式,都已经可以做到讯息加密(Letter Sealing)。
「透过端点对端点的加密功能((End-to-End Encryption,E2EE),都可以做到对话的讯息内容不会轻易遭到外洩。」他说。
Line这种端对端的加密,就是在使用者设备上产生加密的金钥,当双方开启传递讯息时,就会透过系统交换金钥,并对每一个对话产生加密金钥,确保这段对话,只有通话双方才可以解读。
因为是在使用者的行动装置上产生的加密金钥,就算聊天内容被第三方所拦截,因为没有解密金钥,也无从解读这些加密内容。
当然,这样的端点机制也可以用在Line群组中,中山刚志说:「根据Line的统计,目前有95%的群组人数都在50人以下,这也是为什么Line在群组的端点加密机制中,设定50人的群组上限。」
除了Letter Sealing功能外,中山刚志表示,另外一个对个资和隐私保护很重要的技术就是LEGY(Line Event Delivery Gateway,Line讯息传送闸道器)。
早期,Line的讯息仰赖HTTP进行传送,但这种奠基在网页浏览器上的HTTP通讯协定,相较于行动装置并不友善,尤其是需要做到即时性的通讯软体,更有牵涉到HTTP传输效率的问题,以及会因为同一个TCP连线无法平行传送多个连线请求(Request)且无法依先后排序,造成传输效率不彰。
因此,Line改用新版SPDY通讯协定,来改善行动装置上的传输速度以及安全性,并且由Line总部的研发工程师,自行开发API闸道器支援SPDY通讯协定,甚至后来用Erlang开发语言重新改写SPDY通讯协定,打造出了Line现在使用的LEGY通讯协定。
中山刚志表示,从整个LEGY的通讯架构上来看,针对所有使用者装置上的Line App连线到Line后端伺服器的同时,所有的资料传输都会先连线到LEGY闸道器。
这个时候,最重要的关键就是,当所有Line的连线都先连到这个闸道器后,可以降低原先使用SPDY的使用延迟外,也可以把所有的Line传输讯息,都先放到加密的TCP通道进行传输,可以确保传输速度以及内容加密安全性,不致于因为要内容加密导致通讯品质不良。
Line为了做到可以快速传输加密的内容,改写原先正在使用的SPDY通讯协定成为LEGY通讯协定并设置LEGY闸道器,将Line传输讯息先放到加密的TCP通道中,确保加密讯息的传输速度。(图片来源/Line)
使用者的通讯资料可以做到内容加密和传输加密外,中山刚志指出,因为现在各种行动装置的资料还原技术也越来越普遍,为了确保使用者存放在手机上的资料,不会因为手机遗失或维修等情况,发生使用者因为各种资料还原软体,导致相关个人资料外洩的情况。
所以,Line也提供「True Delete」(真实删除)技术,在删除资料时也用「Null」值写入同一个储存位置,确保资料真能完全删除,甚至可以做到,一旦使用该技术删除资料后,即便是Line官方技术人员。也无法使用任何方式来还原资料。
除了技术面的要求,日本也是法规遵循非常严格的国家。
中山刚志表示,日本除了有个人资料保护和隐私保护的法规要求外,也要符合日本落实秘密通讯的法规要求(Secrecy of Communication , in the constitution in the japan)。
但要落实保护资料者隐私的方式,Line进一步针对相关服务,提供各式各样的技术白皮书,也包括各种的参考指南,甚至是在今年四月,更首度公布了各国政府向Line索取使用者个资的透明度报告等等。
中山刚志表示,Line的安全性除了确认身分之外,也从相关的技术演进,从实务面确认App本身的安全性以及提供服务的安全性。
当然,一个公司要能够落地并且针对在地使用者提供所需要的服务,则是需要更多的公司治理和符合相关的法规遵循议题,才有办法做到的。
使用者安全意识,才是确保Line帐号安全终极王道
在台湾,经常会听到许多人抱怨,身边有朋友不是Line的帐号被盗用,就是有朋友相信,透过Line传送需要借钱讯息的那一个对象,就是现实生活中原本就熟识的亲友,也就不疑有他,没有经过任何资讯的查证与确认,立马将对方需要的金钱转帐给对方。往往,这些使用者都是在钱已经转帐之后,才发现自己是发生Line的诈骗事件了。
这样的问题在台湾经常发生,在日本其实发生的机率也不少,中山刚志认为,对于Line而言,除了要在技术层面确保相关产品和服务的安全性外,更重要的使命其实是提升使用者的资安意识,「唯有使用者具备足够的资安意识,Line才能真正确保产品与服务是安全的。」他说。
因此,中山刚志表示,为了让更多使用者知道如何确保Line帐户的安全性,并且具有安全的概念,可以减少各种不必要的诈骗或风险,Line则和日本静冈大学合作,针对全日本一千五百多所的国小、国中和高中生的学生、老师和家长,进行相关的资安教育训练。
他表示,这个资安意识的教育训练对象不仅是为了要提醒所有的一般使用者,应该要如何做到确保帐号的安全,也透过编纂相关的资安教材,以各种更浅显易懂的方式,传递Line希望使用者可以落实的各种资安作为和正确的资安观念。
他表示,目前这套Line编纂的资安教材只有日文版,未来不排除在其他各个有大量下载并安装Line使用者的国家,翻译这套资安教材并进行相关在地化的修改。
最终的目的无他,「只有当Line的使用者可以安全、安心的使用Line,该公司才能够真正确保相关的产品和服务是安全的。」他说。
Line目前推出的种种安全机制,最主要的目的就是希望可以确保使用者的帐号安全性。
因此,中山刚志指出,不管Line如何持续强化所有保护帐号安全措施,以及确保内容通讯安全的机制,但最终的关键仍然是,使用者必须对自己所拥有的Line帐号,具有足够的安全意识。
否则,中山刚志认为,「不安全的资安意识,就像是使用者把自己的ATM提款卡密码交给其他人一样,根本就没有任何安全性可言。」。
?Line下一步:AI、机器人和物联网?
Line资安长兼隐私长中山刚志表示,AI、聊天机器人(Chatbot)以及物联网应用将是Line资安发展的下一步。
对于Line而言,现在的技术都是为了让现在的产品和服务更安全,中山刚志认为,随着网路和各种资安情势变化多端,Line的下一步绝对和AI(人工智慧)、机器人(Chatbot)和物联网的发展息息相关,而Line透过这些技术的研发,目的是确保使用者端对端之间的讯息传输内容的安全性,以及使用者对Line服务的信任。
他以Line推出的虚拟云端AI语音助理Clova(Cloud Virtual Assistant)为例,透过分析Line本身各种服务所累积丰富的内容,可以进一步了解使用者的需求,再加上针对日本、韩国、印尼、泰国和台湾等市场所累积的经验,包括Line的语音聊天内容、Naver的搜寻技术、Line与Naver的各种服务与所累积的各种使用者行为资料等。
中山刚志表示,当这些资料和这个云端AI平台结合后,使用者就可以透过语音方式跟Clova提出各种需求,真正让Line使用者进入后触控、后显示的时代。
「另外,聊天机器人的发展,也是Line未来关注的重点之一。」中山刚志指出,目前Line正在开发客服机器人,希望可以回答70%以上使用者的问题,剩下30%的问题在转交人工客服处理;而语音助理Clova不仅是AI人工智慧的成果,预计今年夏天将在日本与韩国率先推出外,也是Line在推动聊天机器人的综合成果之一。
Line资安长兼隐私长中山刚志表示,物联网的应用是Line未来发展的重点之一,在日本东京总部办公室中,只要启动Line的Beacon功能,就可以到自动贩卖机连线,透过Line Pay付款购买自动贩卖机的饮料。
iThome Security
相关:
广告木马程式暗中窃取Android用户个资,超过800项App惨遭感染
广告木马Xavier感染了800项以上App,包含追蹤程式、照片编辑程式等 图片来源: 趋势科技 趋势科技资安团队日前侦测Google Play的App发现,广告木马程式Xavier潜藏在800项以上的App,包含追蹤程式、相片编辑程式、桌
新华字典App引争议新华字典App有哪些让你觉得不合理?6月11日,由商务印书馆官方出版,中国社科院语言所修订的《新华字典》APP上线。该APP支持iOS、Android平台,完整收录《新华字典》第11版纸书内容,提供数字版纸版
由商务印书馆出版、中国社科院语言所修订的新华字典App日前正式登陆苹果应用商店。和纸质版一样的红底白字的经典版式,只是新华字典App的logo上硕大的“正版”二字相当显著。新华字典苹果商店的产品介绍显示,该App完
苹果与腾讯之间的交锋,是从微信打赏这一并不是特别重要(以打赏在微信平台内的交易流水占比来看)的功能,开启互相之间的试探,腾讯的表现则是迅速撤出了这一战场。接下来,双方之间的交锋会越来越多。苹果将抽成APP内
美30家银行共推Zelle P2P支付服务,力抗PayPal、Apple Pay
图片来源: Zelle 眼见Apple Pay及Venmo掀起点对点(P2P)行动支付风潮,美国主要银行也加入战局,周一宣布推出Zelle点对点支付服务。?首先加入Zelle支付网路的5大银行包括摩根大通、美国银行、富国银行(Wells Fargo C