來源網址: http://www.ettoday.net/news/20160728/743363.htm 內文 天下／20大銀行app　有17家不安全 http://i.imgur.com/ghk3pok.jpg 作者：盧沛樺 一銀事件凸顯金融資安的重要。資安認證業者鑒真數位發現，台灣前20大國銀app，竟有1 1支被查出嚴重資安缺陷。金融資安危機，已經出現在你我身邊。 根據《天下雜誌》獨家取得鑒真數位app資安檢定調查，過半在Google Play上架的國銀ap p，有明顯的資安漏洞，在公用無線上網WiFi環境下，駭客就有機會能竊取用戶的帳號密 碼。 鑒真數位是老字號的資安鑑識業者，也是國內少數通過財團法人全國認證基金會（TAF） 公告，能做「行動應用app基本資安檢測實驗室」的公司，其客戶包括法務部、調查局。 鑒真數位抽測國內資本額前20大銀行，在Google Play上架的行動網銀app，共20支，其中 包括6家公股行庫，14家民間銀行。檢測項目包括4項：憑證綁定、虛擬環境偵測及反制、 程式碼混淆、除錯訊息是否含敏感資訊。（測試版本皆為今年5月20日前最新版） 20大銀行app　有17家不安全 結果發現，除玉山銀、第一銀、元大銀3家app，資安嚴重等級屬「輕微」──也就是四項 檢測中僅一項不符，其他17家都存在較高的資安風險。特別是，高達14支、7成的app憑證 未綁定；這14支app中，有11支未對帳號和密碼做加密，駭客可輕鬆取得所有帳號與密碼 。 鑒真執行長黃敬博解釋，「憑證綁定」是指，每次用戶開啟app跟銀行連線，app要確認連 上的是真的銀行伺服器，就要靠憑證綁定。但鑒真檢測卻發現，大部份銀行app未做好把 關，讓駭客可偽造假憑證。最有可能的做法是，駭客切入用戶與銀行連線之間，有如中間 人般，取得用戶與銀行間的網路傳輸內容。 其中又以11支app沒有做帳號與密碼加密，資安威脅最大。加密等於是多一層保護，如果 不幸被駭，起碼駭客不會那麼容易拿到用戶的帳號、密碼，甚至身分證字號。 在公用地區上網　風險大增 黃敬博說明，一旦有資安有瑕疵，用戶如果在公用無線上網地區使用銀行app，雖然仍有 一定難度，但被有心駭客侵入的風險就大增。但若是用家用WiFi、3G或4G連線，就會比較 安全。 但「看到結果，說實話，自己也嚇壞了，」黃敬博憂心地說。以「程式碼混淆」有14家未 通過檢測為例，「這是寫程式的基本資安邏輯，這叫basic common sense。」 他說，程式碼沒混淆、除錯訊息沒關掉，都反映開發者在程式上架前有重大疏失。 為什麼不安全率這麼高？黃敬博說，其實從網頁時代就有中間人攻擊，差別在瀏覽器僅幾 家大廠，如微軟、Chrome、Firefox，對待網路憑證確認較謹慎。如今app開發者眾多，對 資安防範的認知、專業參差不齊。且國內銀行app多委外開發，集中少數廠商。 黃敬博也說，此次檢測的四項資安問題，「對開發者來講，不是偉大的技術門檻，也不會 影響app的運作流暢度，」他認為，問題出在大家不夠重視，心態停留在「先求有再求好 」。 銀行自律有用嗎？ 《二○一六資誠全球經濟犯罪調查報告》已指出，逾五成受訪者認為，過去兩年，網路安 全威脅的風險愈來愈多，且金融業威脅最大。 這麼高比例的不安全率，金管會如何解決？ 金管會副主委桂先農接受《天下》記者訪問時說，目前由銀行公會訂定的自律規範，包括 「金融機構提供行動裝置應用程式注意事項」、「金融機構辦理電子銀行業務安全控管作 業基準」，均請公會轉知各大金控，由各金控切實落實內控。 此次四項檢測項目中，「憑證綁定」、「虛擬環境偵測及反制」均名列自律規範項目，但 第一項不及格率高達7成，第二項不及格率高達95%，自律足夠嗎？金管機關恐怕必須說服 消費者。 金管會官員透露，金管會已請銀行公會研議，未來金融業的app在上架前，必須先通過安 全檢測。 但目前，一切請自求多福。…（完整報導，請見《天下雜誌》第602期） 心得 有點可怕，金融操作全都露 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.139.33.174 ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1469870613.A.D98.html ※ 編輯: boards (223.139.33.174), 07/30/2016 17:24:02