天下/20大銀行app 有17家不安全

作者:盧沛樺

一銀事件凸顯金融資安的重要。資安認證業者鑑真數位發現,臺灣前20大國銀app,竟有11支被查出嚴重資安缺陷。金融資安危機,已經出現在你我身邊。

根據《天下雜誌》獨家取得鑑真數位app資安檢定調查,過半在Google Play上架的國銀app,有明顯的資安漏洞,在公用無線上網WiFi環境下,駭客就有機會能竊取用戶帳號密碼

鑑真數位是字號的資安鑑識業者,也是國內少數通過財團法人全國認證基金會(TAF)公告,能做「行動應用app基本資安檢測實驗室」的公司,其客戶包括法務部調查局

鑑真數位抽測國內資本額前20大銀行,在Google Play上架的行動網銀app,共20支,其中包括6家公股行庫,14家民間銀行。檢測項目包括4項:憑證綁定、虛擬環境偵測及反制、程式碼混淆、除錯訊息是否含敏感資訊。(測試版本皆爲今年5月20日前最新版)

20大銀行app 有17家不安全

結果發現,除玉山銀、第一銀、元大銀3家app,資安嚴重等級屬「輕微」──也就是四項檢測中僅一項不符,其他17家都存在較高的資安風險。特別是,高達14支、7成的app憑證未綁定;這14支app中,有11支未對帳號和密碼做加密,駭客可輕鬆取得所有帳號與密碼。

鑑真執行長黃敬博解釋,「憑證綁定」是指,每次用戶開啓app跟銀行連線,app要確認連上的是真的銀行伺服器,就要靠憑證綁定。但鑑真檢測卻發現,大部份銀行app未做好把關,讓駭客可僞造假憑證。最有可能的做法是,駭客切入用戶與銀行連線之間,有如中間人般,取得用戶與銀行間網路傳輸內容。

其中又以11支app沒有做帳號與密碼加密,資安威脅最大。加密等於是多一層保護,如果不幸被駭,起碼駭客不會那麼容易拿到用戶的帳號、密碼,甚至身分證字號。

在公用地區上網 風險大增

黃敬博說明,一旦有資安有瑕疵,用戶如果在公用無線上網地區使用銀行app,雖然仍有一定難度,但被有心駭客侵入的風險就大增。但若是用家用WiFi、3G或4G連線,就會比較安全。

但「看到結果,說實話,自己也嚇壞了,」黃敬博憂心地說。以「程式碼混淆」有14家未通過檢測爲例,「這是寫程式的基本資安邏輯,這叫basic common sense。」

他說,程式碼沒混淆、除錯訊息沒關掉,都反映開發者在程式上架前有重大疏失。

爲什麼不安全率這麼高?黃敬博說,其實從網頁時代就有中間人攻擊,差別在瀏覽器僅幾家大廠,如微軟、Chrome、Firefox,對待網路憑證確認較謹慎。如今app開發者衆多,對資安防範的認知、專業參差不齊。且國內銀行app多委外開發,集中少數廠商

黃敬博也說,此次檢測的四項資安問題,「對開發者來講,不是偉大的技術門檻,也不會影響app的運作流暢度,」他認爲,問題出在大家不夠重視,心態停留在「先求有再求好」。

銀行自律有用嗎?

《二○一六資誠全球經濟犯罪調查報告》已指出,逾五成受訪者認爲,過去兩年,網路安全威脅的風險愈來愈多,且金融業威脅最大。

這麼高比例的不安全率,金管會如何解決?

金管會副主委桂先農接受《天下》記者訪問時說,目前由銀行公會訂定的自律規範,包括「金融機構提供行動裝置應用程式注意事項」、「金融機構辦理電子銀行業務安全控管作業基準」,均請公會轉知各大金控,由各金控切實落實內控。

此次四項檢測項目中,「憑證綁定」、「虛擬環境偵測及反制」均名列自律規範項目,但第一項不及格率高達7成,第二項不及格率高達95%,自律足夠嗎?金管機關恐怕必須說服消費者。

金管會官員透露,金管會已請銀行公會研議,未來金融業的app在上架前,必須先通過安全檢測。

但目前,一切請自求多福。…(完整報導,請見《天下雜誌》第602期)

【延伸閱讀】

他們上臺大 學霸怒吼不公平?

「全世界都欠我!」註定失敗的13種爛個性

菲律賓臥底兩年,我想告訴臺灣人......

親愛的,我們的愛情犯傻了!

用手機的習慣 泄露了你的心理素質

※更多精彩報導,詳見《天下雜誌》網站。※本文由天下雜誌授權報導,未經同意禁止轉載