来源网址:
http://www.ettoday.net/news/20160728/743363.htm
内文
天下／20大银行app　有17家不安全


作者：卢沛桦
一银事件凸显金融资安的重要。资安认证业者鉴真数位发现，台湾前20大国银app，竟有1
1支被查出严重资安缺陷。金融资安危机，已经出现在你我身边。
根据《天下杂志》独家取得鉴真数位app资安检定调查，过半在Google Play上架的国银ap
p，有明显的资安漏洞，在公用无线上网WiFi环境下，骇客就有机会能窃取用户的帐号密
码。
鉴真数位是老字号的资安鉴识业者，也是国内少数通过财团法人全国认证基金会（TAF）
公告，能做“行动应用app基本资安检测实验室”的公司，其客户包括法务部、调查局。
鉴真数位抽测国内资本额前20大银行，在Google Play上架的行动网银app，共20支，其中
包括6家公股行库，14家民间银行。检测项目包括4项：凭证绑定、虚拟环境侦测及反制、
程式码混淆、除错讯息是否含敏感资讯。（测试版本皆为今年5月20日前最新版）
20大银行app　有17家不安全
结果发现，除玉山银、第一银、元大银3家app，资安严重等级属“轻微”──也就是四项
检测中仅一项不符，其他17家都存在较高的资安风险。特别是，高达14支、7成的app凭证
未绑定；这14支app中，有11支未对帐号和密码做加密，骇客可轻松取得所有帐号与密码
。
鉴真执行长黄敬博解释，“凭证绑定”是指，每次用户开启app跟银行连线，app要确认连
上的是真的银行服务器，就要靠凭证绑定。但鉴真检测却发现，大部份银行app未做好把
关，让骇客可伪造假凭证。最有可能的做法是，骇客切入用户与银行连线之间，有如中间
人般，取得用户与银行间的网络传输内容。
其中又以11支app没有做帐号与密码加密，资安威胁最大。加密等于是多一层保护，如果
不幸被骇，起码骇客不会那么容易拿到用户的帐号、密码，甚至身分证字号。
在公用地区上网　风险大增
黄敬博说明，一旦有资安有瑕疵，用户如果在公用无线上网地区使用银行app，虽然仍有
一定难度，但被有心骇客侵入的风险就大增。但若是用家用WiFi、3G或4G连线，就会比较
安全。
但“看到结果，说实话，自己也吓坏了，”黄敬博忧心地说。以“程式码混淆”有14家未
通过检测为例，“这是写程式的基本资安逻辑，这叫basic common sense。”
他说，程式码没混淆、除错讯息没关掉，都反映开发者在程式上架前有重大疏失。
为什么不安全率这么高？黄敬博说，其实从网页时代就有中间人攻击，差别在浏览器仅几
家大厂，如微软、Chrome、Firefox，对待网络凭证确认较谨慎。如今app开发者众多，对
资安防范的认知、专业参差不齐。且国内银行app多委外开发，集中少数厂商。
黄敬博也说，此次检测的四项资安问题，“对开发者来讲，不是伟大的技术门槛，也不会
影响app的运作流畅度，”他认为，问题出在大家不够重视，心态停留在“先求有再求好
”。
银行自律有用吗？
《二○一六资诚全球经济犯罪调查报告》已指出，逾五成受访者认为，过去两年，网络安
全威胁的风险愈来愈多，且金融业威胁最大。
这么高比例的不安全率，金管会如何解决？
金管会副主委桂先农接受《天下》记者访问时说，目前由银行公会订定的自律规范，包括
“金融机构提供行动装置应用程式注意事项”、“金融机构办理电子银行业务安全控管作
业基准”，均请公会转知各大金控，由各金控切实落实内控。
此次四项检测项目中，“凭证绑定”、“虚拟环境侦测及反制”均名列自律规范项目，但
第一项不及格率高达7成，第二项不及格率高达95%，自律足够吗？金管机关恐怕必须说服
消费者。
金管会官员透露，金管会已请银行公会研议，未来金融业的app在上架前，必须先通过安
全检测。
但目前，一切请自求多福。…（完整报导，请见《天下杂志》第602期）
心得
有点可怕，金融操作全都露

鉴真数位-抽检各大银行App检测说明http://bit.ly/2aRx8F4 (PDF)

那在ios上呢？

一银竟然是20家内相对安全的... 盗领案如果是其他家应该也防不了

一银还是轻微的！拉青屎了现在！

不都三竹做的吗?

惨.... 问题都很大的

三竹系统在金融股票界APP产量算很多了

金管会失职

用公用网络使用网银，出事怪谁??用电信业者的网络被拦截才严重学券商绑定凭证就好，不是什么大事情

直接把帐号密码明文传送是很低级的bug…

不就是一个厂商想用来赚钱的文章吗，银行真的这么不安全的话app怎么可能上架。

小小金管会不用期待有什么作为发表这篇报告，怕被告连20家银行都不敢写，看看就好

楼楼上正解...

天下杂志＋单一厂商 记者是叶佩雯？