守護 App 資安,艾斯冰殼獲 Devcore 投資對抗山寨威脅
說到資安,大部分的人可能想到的是被騙個資、錢財損失,但是要做到這件事情之前,首先是獲取人的信任。其中一種情境與生活息息相關:仿冒的 App。
如果App沒有做好資安防護,駭客使用「逆向工程」還原程式碼,就可以做出盜版產品進行詐騙。
從工程師轉身為創業家的技術人──艾斯冰殼共同創辦人暨執行長王羿廷,帶領團隊從台灣出發,決心打造屬於台灣的App資安防護解方,資安防護產品ICEshell就此誕生。
從資安工程師到創業者:資安防護的轉身契機
「資安防護這四個字對你來講有什麼樣的意義?」王羿廷坦言,自己做為科技產品的使用者,最直覺的聯想是電腦和詐騙,「談到資安,我們常常想到被詐騙了、接到詐騙電話,很有可能是我的資料外流了。」但他強調,其實我們身邊每支手機、每個App、每筆數據,在打開應用程式的瞬間,都牽涉到嚴謹的資安保護。
王羿廷的資安防護故事始於Sparkful(前身Fortisire),旗下App如《Plant Nanny》、《Walkr》等累積全球用戶超過3,400萬人。他在那裡擔任資安工程師,負責防止旗下App遭破解、作弊或盜版。
「Sparkful有非常非常多使用者,所以想作弊的人也非常多」,他解釋駭客的手法:「你把App上架到Google Play後,駭客會去下載,沒有防護的話可以還原你的原始碼,這叫逆向工程。還原後可以修改程式,再重新打包放到第三方平台或分享破解版網站。」
Sparkful曾採購國外資安產品,但王羿廷說:「發現國外產品有一些不足的地方,使用上不是很便利,重點是價格非常非常昂貴。」訂閱制計價模式讓App數量一多,資安成本驟增。他們決定自研資安產品ICEshell,「幫Sparkful節省資安預算,有基本防護功能,不要被盜版、不要被作弊。」
轉折點出現在朋友介紹下,他們認識台中一家博弈手遊開發商,「他們App超過百萬下載量,博弈類App被作弊的損失會非常巨大」,對方試用後採購,這成了ICEshell第一個外部客戶。王羿廷說:「這是初步覺得產品未來有商業化潛力的第一件事。」
另一契機是主動找上台灣知名攻擊型資安團隊DevCore進行測試。「一開始很多功能都被攻破,但在他們建議我們持續強化安全性」,最後連DevCore頂尖駭客都要花幾個月才能找到漏洞,「讓駭客覺得不值得打了」,這也促成DevCore成為股東,共同投資成立艾斯冰殼新公司。
這段歷程,正如王羿廷所說:「本著把產品打造好的心態,默默客戶也有了,共同創辦人也有了,而且都是很好的、實力堅強的夥伴。」那麼,在國外資安大廠盤踞下,台灣開發者還能如何突破重圍,打造屬於自己的資安品牌?本土資安市場的潛力又在哪裡?
資安為什麼重要?台灣開發者的獨特需求
談到App資安,王羿廷觀察到一個現實:「我認為目前台灣App的資安意識,其實還處於剛萌發、剛抬頭的初期階段。」多數開發商仍抱持「只要沒有被攻擊,就不需要資安防護」的僥倖心態。然而,隨著詐騙猖獗,App一旦被破解或被駭客逆向工程還原,不僅原始碼可能外流,還可能被改造成山寨版,甚至假借原名去詐騙消費者敏感個資。王羿廷提醒:「不管什麼類型的App,只要涉及個資、使用者認證或交易功能,就絕對需要資安防護。」
在台灣,政府與金融單位推出的App因法規要求,向來重視資安並仰賴國外產品。但王羿廷提到:「最近一兩年,我們有針對台灣資安法規開發相對應的功能,讓開發者使用我們的產品後能快速通過資安檢測,取得上架認證。」這不只是因應法規,更是降低開發團隊資安門檻的重要一步。
為了回應台灣開發者需求,ICEshell在產品設計上做出幾項在地化調整。首先,它是「完全自動化工具」,一行指令或滑鼠點兩下即可完成防護,不需將App安裝檔傳出外部平台進行防護作業。「這樣開發者不用擔心App在尚未發布階段,就得先交出去給別人處理」,王羿廷解釋。此外,ICEshell還提供惡意行為監控與回報功能,讓開發者隨時掌握可疑使用者行為、主動停權,守住App安全防線。
更具特色的是,ICEshell允許開發者自行設定加密金鑰。王羿廷打比方說:「就像你買了一個保險箱,只有你知道密碼。」不同於國際產品統一派發金鑰、讓開發者無法掌控,ICEshell確保金鑰僅掌握在客戶手中,「連我們產品開發者都不知道金鑰是什麼,所以理論上會更安全」。
台灣開發者在資安防護上的種種細膩需求,反映出本土市場與國際大廠產品之間的落差,也讓人不禁好奇:這樣的技術背景與資安專業,在創業初期究竟是助力,還是反而限制了決策的彈性?
▲ 為了回應台灣開發者需求,ICEshell在產品設計上做出幾項在地化調整,例如「完全自動化工具」,以及允許開發者自行設定加密金鑰。(Source:ICEshell)
技術背景是助力,還是限制?
王羿廷在Sparkful任職四年,自2018年起一路從資安工程師走到創業者、執行長。過去,他只需專注技術,解決程式與產品問題,如今身為執行長,他笑言:「以前只要面對電腦、手機,現在要面對更多的人,包括員工、客戶,還得管公司營運、市場開發,挑戰多很多。」
技術背景成為創業初期的重要助力。「因為我們產品的客群就是App開發者,他們也是技術人,我懂技術又懂產品,能跟開發者溝通得很順暢,客戶遇到技術問題我也能直接解答。」他既是產品開發者,又能擔任行銷角色,獲得客戶更多信任。
但技術背景也帶來盲點。「商業思維可能沒有像非技術人員這麼好,有時候會過於專注技術,忽略商業模式或市場開發上的彈性。」王羿廷坦言,一開始認為招募專業業務是解方,但因公司規模小、知名度低,很難吸引到優秀業務加入。最後,他悟出一個關鍵:「其實透過合作夥伴就可以了,因為他們是可以讓銀行信任的,請他們幫我們說話,比我們自己講自己好,要來得有效果太多了。」
對艾斯冰殼來說,這只是開始,未來如何持續平衡專業與商業策略,才是持續成長的關鍵。
(本文由 創業小聚 授權轉載;首圖來源:Created by freepik)