作者:盧沛樺
一銀事件凸顯金融資安的重要。資安認證業者鑒真數位發現,台灣前20大國銀app,竟有11支被查出嚴重資安缺陷。金融資安危機,已經出現在你我身邊。
根據《天下雜誌》獨家取得鑒真數位app資安檢定調查,過半在Google Play上架的國銀app,有明顯的資安漏洞,在公用無線上網WiFi環境下,駭客就有機會能竊取用戶的帳號密碼。
鑒真數位是老字號的資安鑑識業者,也是國內少數通過財團法人全國認證基金會(TAF)公告,能做「行動應用app基本資安檢測實驗室」的公司,其客戶包括法務部、調查局。
鑒真數位抽測國內資本額前20大銀行,在Google Play上架的行動網銀app,共20支,其中包括6家公股行庫,14家民間銀行。檢測項目包括4項:憑證綁定、虛擬環境偵測及反制、程式碼混淆、除錯訊息是否含敏感資訊。(測試版本皆為今年5月20日前最新版)
20大銀行app 有17家不安全
結果發現,除玉山銀、第一銀、元大銀3家app,資安嚴重等級屬「輕微」──也就是四項檢測中僅一項不符,其他17家都存在較高的資安風險。特別是,高達14支、7成的app憑證未綁定;這14支app中,有11支未對帳號和密碼做加密,駭客可輕鬆取得所有帳號與密碼。
鑒真執行長黃敬博解釋,「憑證綁定」是指,每次用戶開啟app跟銀行連線,app要確認連上的是真的銀行伺服器,就要靠憑證綁定。但鑒真檢測卻發現,大部份銀行app未做好把關,讓駭客可偽造假憑證。最有可能的做法是,駭客切入用戶與銀行連線之間,有如中間人般,取得用戶與銀行間的網路傳輸內容。
其中又以11支app沒有做帳號與密碼加密,資安威脅最大。加密等於是多一層保護,如果不幸被駭,起碼駭客不會那麼容易拿到用戶的帳號、密碼,甚至身分證字號。
在公用地區上網 風險大增
黃敬博說明,一旦有資安有瑕疵,用戶如果在公用無線上網地區使用銀行app,雖然仍有一定難度,但被有心駭客侵入的風險就大增。但若是用家用WiFi、3G或4G連線,就會比較安全。
但「看到結果,說實話,自己也嚇壞了,」黃敬博憂心地說。以「程式碼混淆」有14家未通過檢測為例,「這是寫程式的基本資安邏輯,這叫basic common sense。」
他說,程式碼沒混淆、除錯訊息沒關掉,都反映開發者在程式上架前有重大疏失。
為什麼不安全率這麼高?黃敬博說,其實從網頁時代就有中間人攻擊,差別在瀏覽器僅幾家大廠,如微軟、Chrome、Firefox,對待網路憑證確認較謹慎。如今app開發者眾多,對資安防範的認知、專業參差不齊。且國內銀行app多委外開發,集中少數廠商。
黃敬博也說,此次檢測的四項資安問題,「對開發者來講,不是偉大的技術門檻,也不會影響app的運作流暢度,」他認為,問題出在大家不夠重視,心態停留在「先求有再求好」。
銀行自律有用嗎?
《二○一六資誠全球經濟犯罪調查報告》已指出,逾五成受訪者認為,過去兩年,網路安全威脅的風險愈來愈多,且金融業威脅最大。
這麼高比例的不安全率,金管會如何解決?
金管會副主委桂先農接受《天下》記者訪問時說,目前由銀行公會訂定的自律規範,包括「金融機構提供行動裝置應用程式注意事項」、「金融機構辦理電子銀行業務安全控管作業基準」,均請公會轉知各大金控,由各金控切實落實內控。
此次四項檢測項目中,「憑證綁定」、「虛擬環境偵測及反制」均名列自律規範項目,但第一項不及格率高達7成,第二項不及格率高達95%,自律足夠嗎?金管機關恐怕必須說服消費者。
金管會官員透露,金管會已請銀行公會研議,未來金融業的app在上架前,必須先通過安全檢測。
但目前,一切請自求多福。…(完整報導,請見《天下雜誌》第602期)
【延伸閱讀】
※更多精彩報導,詳見《天下雜誌》網站。
※本文由天下雜誌授權報導,未經同意禁止轉載
讀者迴響