天下／20大銀行app　有17家不安全 - 銀行

來源網址:

http://www.ettoday.net/news/20160728/743363.htm

內文
天下／20大銀行app　有17家不安全


http://i.imgur.com/ghk3pok.jpg
作者：盧沛樺

一銀事件凸顯金融資安的重要。資安認證業者鑒真數位發現，台灣前20大國銀app，竟有1
1支被查出嚴重資安缺陷。金融資安危機，已經出現在你我身邊。

根據《天下雜誌》獨家取得鑒真數位app資安檢定調查，過半在Google Play上架的國銀ap
p，有明顯的資安漏洞，在公用無線上網WiFi環境下，駭客就有機會能竊取用戶的帳號密
碼。

鑒真數位是老字號的資安鑑識業者，也是國內少數通過財團法人全國認證基金會（TAF）
公告，能做「行動應用app基本資安檢測實驗室」的公司，其客戶包括法務部、調查局。

鑒真數位抽測國內資本額前20大銀行，在Google Play上架的行動網銀app，共20支，其中
包括6家公股行庫，14家民間銀行。檢測項目包括4項：憑證綁定、虛擬環境偵測及反制、
程式碼混淆、除錯訊息是否含敏感資訊。（測試版本皆為今年5月20日前最新版）

20大銀行app　有17家不安全

結果發現，除玉山銀、第一銀、元大銀3家app，資安嚴重等級屬「輕微」──也就是四項
檢測中僅一項不符，其他17家都存在較高的資安風險。特別是，高達14支、7成的app憑證
未綁定；這14支app中，有11支未對帳號和密碼做加密，駭客可輕鬆取得所有帳號與密碼
。

鑒真執行長黃敬博解釋，「憑證綁定」是指，每次用戶開啟app跟銀行連線，app要確認連
上的是真的銀行伺服器，就要靠憑證綁定。但鑒真檢測卻發現，大部份銀行app未做好把
關，讓駭客可偽造假憑證。最有可能的做法是，駭客切入用戶與銀行連線之間，有如中間
人般，取得用戶與銀行間的網路傳輸內容。

其中又以11支app沒有做帳號與密碼加密，資安威脅最大。加密等於是多一層保護，如果
不幸被駭，起碼駭客不會那麼容易拿到用戶的帳號、密碼，甚至身分證字號。


在公用地區上網　風險大增

黃敬博說明，一旦有資安有瑕疵，用戶如果在公用無線上網地區使用銀行app，雖然仍有
一定難度，但被有心駭客侵入的風險就大增。但若是用家用WiFi、3G或4G連線，就會比較
安全。

但「看到結果，說實話，自己也嚇壞了，」黃敬博憂心地說。以「程式碼混淆」有14家未
通過檢測為例，「這是寫程式的基本資安邏輯，這叫basic common sense。」

他說，程式碼沒混淆、除錯訊息沒關掉，都反映開發者在程式上架前有重大疏失。

為什麼不安全率這麼高？黃敬博說，其實從網頁時代就有中間人攻擊，差別在瀏覽器僅幾
家大廠，如微軟、Chrome、Firefox，對待網路憑證確認較謹慎。如今app開發者眾多，對
資安防範的認知、專業參差不齊。且國內銀行app多委外開發，集中少數廠商。

黃敬博也說，此次檢測的四項資安問題，「對開發者來講，不是偉大的技術門檻，也不會
影響app的運作流暢度，」他認為，問題出在大家不夠重視，心態停留在「先求有再求好
」。

銀行自律有用嗎？

《二○一六資誠全球經濟犯罪調查報告》已指出，逾五成受訪者認為，過去兩年，網路安
全威脅的風險愈來愈多，且金融業威脅最大。

這麼高比例的不安全率，金管會如何解決？

金管會副主委桂先農接受《天下》記者訪問時說，目前由銀行公會訂定的自律規範，包括
「金融機構提供行動裝置應用程式注意事項」、「金融機構辦理電子銀行業務安全控管作
業基準」，均請公會轉知各大金控，由各金控切實落實內控。

此次四項檢測項目中，「憑證綁定」、「虛擬環境偵測及反制」均名列自律規範項目，但
第一項不及格率高達7成，第二項不及格率高達95%，自律足夠嗎？金管機關恐怕必須說服
消費者。

金管會官員透露，金管會已請銀行公會研議，未來金融業的app在上架前，必須先通過安
全檢測。

但目前，一切請自求多福。…（完整報導，請見《天下雜誌》第602期）


心得
有點可怕，金融操作全都露

--