来源网址:
http://www.ettoday.net/news/20160728/743363.htm
内文
天下/20大银行app 有17家不安全
http://i.imgur.com/ghk3pok.jpg
作者:卢沛桦
一银事件凸显金融资安的重要。资安认证业者鉴真数位发现,台湾前20大国银app,竟有1
1支被查出严重资安缺陷。金融资安危机,已经出现在你我身边。
根据《天下杂志》独家取得鉴真数位app资安检定调查,过半在Google Play上架的国银ap
p,有明显的资安漏洞,在公用无线上网WiFi环境下,骇客就有机会能窃取用户的帐号密
码。
鉴真数位是老字号的资安鉴识业者,也是国内少数通过财团法人全国认证基金会(TAF)
公告,能做“行动应用app基本资安检测实验室”的公司,其客户包括法务部、调查局。
鉴真数位抽测国内资本额前20大银行,在Google Play上架的行动网银app,共20支,其中
包括6家公股行库,14家民间银行。检测项目包括4项:凭证绑定、虚拟环境侦测及反制、
程式码混淆、除错讯息是否含敏感资讯。(测试版本皆为今年5月20日前最新版)
20大银行app 有17家不安全
结果发现,除玉山银、第一银、元大银3家app,资安严重等级属“轻微”──也就是四项
检测中仅一项不符,其他17家都存在较高的资安风险。特别是,高达14支、7成的app凭证
未绑定;这14支app中,有11支未对帐号和密码做加密,骇客可轻松取得所有帐号与密码
。
鉴真执行长黄敬博解释,“凭证绑定”是指,每次用户开启app跟银行连线,app要确认连
上的是真的银行服务器,就要靠凭证绑定。但鉴真检测却发现,大部份银行app未做好把
关,让骇客可伪造假凭证。最有可能的做法是,骇客切入用户与银行连线之间,有如中间
人般,取得用户与银行间的网络传输内容。
其中又以11支app没有做帐号与密码加密,资安威胁最大。加密等于是多一层保护,如果
不幸被骇,起码骇客不会那么容易拿到用户的帐号、密码,甚至身分证字号。
在公用地区上网 风险大增
黄敬博说明,一旦有资安有瑕疵,用户如果在公用无线上网地区使用银行app,虽然仍有
一定难度,但被有心骇客侵入的风险就大增。但若是用家用WiFi、3G或4G连线,就会比较
安全。
但“看到结果,说实话,自己也吓坏了,”黄敬博忧心地说。以“程式码混淆”有14家未
通过检测为例,“这是写程式的基本资安逻辑,这叫basic common sense。”
他说,程式码没混淆、除错讯息没关掉,都反映开发者在程式上架前有重大疏失。
为什么不安全率这么高?黄敬博说,其实从网页时代就有中间人攻击,差别在浏览器仅几
家大厂,如微软、Chrome、Firefox,对待网络凭证确认较谨慎。如今app开发者众多,对
资安防范的认知、专业参差不齐。且国内银行app多委外开发,集中少数厂商。
黄敬博也说,此次检测的四项资安问题,“对开发者来讲,不是伟大的技术门槛,也不会
影响app的运作流畅度,”他认为,问题出在大家不够重视,心态停留在“先求有再求好
”。
银行自律有用吗?
《二○一六资诚全球经济犯罪调查报告》已指出,逾五成受访者认为,过去两年,网络安
全威胁的风险愈来愈多,且金融业威胁最大。
这么高比例的不安全率,金管会如何解决?
金管会副主委桂先农接受《天下》记者访问时说,目前由银行公会订定的自律规范,包括
“金融机构提供行动装置应用程式注意事项”、“金融机构办理电子银行业务安全控管作
业基准”,均请公会转知各大金控,由各金控切实落实内控。
此次四项检测项目中,“凭证绑定”、“虚拟环境侦测及反制”均名列自律规范项目,但
第一项不及格率高达7成,第二项不及格率高达95%,自律足够吗?金管机关恐怕必须说服
消费者。
金管会官员透露,金管会已请银行公会研议,未来金融业的app在上架前,必须先通过安
全检测。
但目前,一切请自求多福。…(完整报导,请见《天下杂志》第602期)
心得
有点可怕,金融操作全都露