天下/20大银行app 有17家不安全
作者:卢沛桦
一银事件凸显金融资安的重要。资安认证业者鉴真数位发现,台湾前20大国银app,竟有11支被查出严重资安缺陷。金融资安危机,已经出现在你我身边。
根据《天下杂志》独家取得鉴真数位app资安检定调查,过半在Google Play上架的国银app,有明显的资安漏洞,在公用无线上网WiFi环境下,骇客就有机会能窃取用户的帐号密码。
鉴真数位是老字号的资安鉴识业者,也是国内少数通过财团法人全国认证基金会(TAF)公告,能做「行动应用app基本资安检测实验室」的公司,其客户包括法务部、调查局。
鉴真数位抽测国内资本额前20大银行,在Google Play上架的行动网银app,共20支,其中包括6家公股行库,14家民间银行。检测项目包括4项:凭证绑定、虚拟环境侦测及反制、程式码混淆、除错讯息是否含敏感资讯。(测试版本皆为今年5月20日前最新版)
20大银行app 有17家不安全
结果发现,除玉山银、第一银、元大银3家app,资安严重等级属「轻微」──也就是四项检测中仅一项不符,其他17家都存在较高的资安风险。特别是,高达14支、7成的app凭证未绑定;这14支app中,有11支未对帐号和密码做加密,骇客可轻松取得所有帐号与密码。
鉴真执行长黄敬博解释,「凭证绑定」是指,每次用户开启app跟银行连线,app要确认连上的是真的银行伺服器,就要靠凭证绑定。但鉴真检测却发现,大部份银行app未做好把关,让骇客可伪造假凭证。最有可能的做法是,骇客切入用户与银行连线之间,有如中间人般,取得用户与银行间的网路传输内容。
其中又以11支app没有做帐号与密码加密,资安威胁最大。加密等于是多一层保护,如果不幸被骇,起码骇客不会那么容易拿到用户的帐号、密码,甚至身分证字号。
在公用地区上网 风险大增
黄敬博说明,一旦有资安有瑕疵,用户如果在公用无线上网地区使用银行app,虽然仍有一定难度,但被有心骇客侵入的风险就大增。但若是用家用WiFi、3G或4G连线,就会比较安全。
但「看到结果,说实话,自己也吓坏了,」黄敬博忧心地说。以「程式码混淆」有14家未通过检测为例,「这是写程式的基本资安逻辑,这叫basic common sense。」
他说,程式码没混淆、除错讯息没关掉,都反映开发者在程式上架前有重大疏失。
为什么不安全率这么高?黄敬博说,其实从网页时代就有中间人攻击,差别在浏览器仅几家大厂,如微软、Chrome、Firefox,对待网路凭证确认较谨慎。如今app开发者众多,对资安防范的认知、专业参差不齐。且国内银行app多委外开发,集中少数厂商。
黄敬博也说,此次检测的四项资安问题,「对开发者来讲,不是伟大的技术门槛,也不会影响app的运作流畅度,」他认为,问题出在大家不够重视,心态停留在「先求有再求好」。
银行自律有用吗?
《二○一六资诚全球经济犯罪调查报告》已指出,逾五成受访者认为,过去两年,网路安全威胁的风险愈来愈多,且金融业威胁最大。
这么高比例的不安全率,金管会如何解决?
金管会副主委桂先农接受《天下》记者访问时说,目前由银行公会订定的自律规范,包括「金融机构提供行动装置应用程式注意事项」、「金融机构办理电子银行业务安全控管作业基准」,均请公会转知各大金控,由各金控切实落实内控。
此次四项检测项目中,「凭证绑定」、「虚拟环境侦测及反制」均名列自律规范项目,但第一项不及格率高达7成,第二项不及格率高达95%,自律足够吗?金管机关恐怕必须说服消费者。
金管会官员透露,金管会已请银行公会研议,未来金融业的app在上架前,必须先通过安全检测。
但目前,一切请自求多福。…(完整报导,请见《天下杂志》第602期)
【延伸阅读】
「全世界都欠我!」注定失败的13种烂个性
亲爱的,我们的爱情犯傻了!
用手机的习惯 泄露了你的心理素质
※更多精彩报导,详见《天下杂志》网站。※本文由天下杂志授权报导,未经同意禁止转载