伊莉討論區

標題: [20大銀行app　有 17家不安全][天下雜誌][2016-07-26] [打印本頁]

作者: y8qc2gk91 時間: 2016-7-26 11:12 PM 標題: [20大銀行app　有 17家不安全][天下雜誌][2016-07-26]

一銀事件凸顯金融資安的重要。資安認證業者鑒真數位發現，台灣前20大國銀app，竟有11支被查出嚴重資安缺陷。金融資安危機，已經出現在你我身邊。

根據《天下雜誌》獨家取得鑒真數位app資安檢定調查，過半在Google Play上架的國銀app，有明顯的資安漏洞，在公用無線上網WiFi環境下，駭客就有機會能竊取用戶的帳號密碼。

鑒真數位是老字號的資安鑑識業者，也是國內少數通過財團法人全國認證基金會（TAF）公告，能做「行動應用app基本資安檢測實驗室」的公司，其客戶包括法務部、調查局。

鑒真數位抽測國內資本額前20大銀行，在Google Play上架的行動網銀app，共20支，其中包括6家公股行庫，14家民間銀行。檢測項目包括4項：憑證綁定、虛擬環境偵測及反制、程式碼混淆、除錯訊息是否含敏感資訊。（測試版本皆為今年5月20日前最新版）

20大銀行app　有 17家不安全

結果發現，除玉山銀、第一銀、元大銀3家app，資安嚴重等級屬「輕微」──也就是四項檢測中僅一項不符，其他17家都存在較高的資安風險。特別是，高達14支、7成的app憑證未綁定；這14支app中，有11支未對帳號和密碼做加密，駭客可輕鬆取得所有帳號與密碼。

鑒真執行長黃敬博解釋，「憑證綁定」是指，每次用戶開啟app跟銀行連線，app要確認連上的是真的銀行伺服器，就要靠憑證綁定。但鑒真檢測卻發現，大部份銀行app未做好把關，讓駭客可偽造假憑證。最有可能的做法是，駭客切入用戶與銀行連線之間，有如中間人般，取得用戶與銀行間的網路傳輸內容。

其中又以11支app沒有做帳號與密碼加密，資安威脅最大。加密等於是多一層保護，如果不幸被駭，起碼駭客不會那麼容易拿到用戶的帳號、密碼，甚至身分證字號。

在公用地區上網　風險大增

黃敬博說明，一旦有資安有瑕疵，用戶如果在公用無線上網地區使用銀行app，雖然仍有一定難度，但被有心駭客侵入的風險就大增。但若是用家用WiFi、3G或4G連線，就會比較安全。

但「看到結果，說實話，自己也嚇壞了，」黃敬博憂心地說。以「程式碼混淆」有14家未通過檢測為例，「這是寫程式的基本資安邏輯，這叫basic common sense。」

他說，程式碼沒混淆、除錯訊息沒關掉，都反映開發者在程式上架前有重大疏失。

為什麼不安全率這麼高？黃敬博說，其實從網頁時代就有中間人攻擊，差別在瀏覽器僅幾家大廠，如微軟、Chrome、Firefox，對待網路憑證確認較謹慎。如今app開發者眾多，對資安防範的認知、專業參差不齊。且國內銀行app多委外開發，集中少數廠商。

黃敬博也說，此次檢測的四項資安問題，「對開發者來講，不是偉大的技術門檻，也不會影響app的運作流暢度，」他認為，問題出在大家不夠重視，心態停留在「先求有再求好」。

銀行自律有用嗎？

《二○一六資誠全球經濟犯罪調查報告》已指出，逾五成受訪者認為，過去兩年，網路安全威脅的風險愈來愈多，且金融業威脅最大。

這麼高比例的不安全率，金管會如何解決？

金管會副主委桂先農接受《天下》記者訪問時說，目前由銀行公會訂定的自律規範，包括「金融機構提供行動裝置應用程式注意事項」、「金融機構辦理電子銀行業務安全控管作業基準」，均請公會轉知各大金控，由各金控切實落實內控。

此次四項檢測項目中，「憑證綁定」、「虛擬環境偵測及反制」均名列自律規範項目，但第一項不及格率高達7成，第二項不及格率高達95%，自律足夠嗎？金管機關恐怕必須說服消費者。

金管會官員透露，金管會已請銀行公會研議，未來金融業的app在上架前，必須先通過安全檢測。

..............................................................................................................................................

想不到這麼多銀行的資訊安全是有疑慮或是不合格的啊，看來民眾在選擇銀行的時候真得要多做功課才行。

作者: 李很白 時間: 2016-7-27 01:24 AM

這本來就是取捨的問題,你不可能既方便又安全的,大部分銀行追求流行以後會面對向卡債一樣的問題

作者: jimjin31 時間: 2016-7-27 11:45 AM

有鑑於一銀盜領, 以後使用網路銀行和APP 得更加謹慎了!!

作者: jowei15 時間: 2016-7-27 01:13 PM

俺真的不建議去使用銀行的APP，雖然方便，但是風險也大！！！

作者: 路邊有隻草 時間: 2016-7-27 01:39 PM

人民的錢，被盜領沒關係啦。

到時還可以把行內歸空的錢混進去。

萬一不小心被用戶人多領一大元，

用戶人可要第一時間歸還，不然小心銀行告你侵佔

作者: yujs239 時間: 2016-7-27 02:11 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: linmuson 時間: 2016-7-27 02:52 PM

手機普急得如此之快，又難以讓使用者用一般使用模式去做更一進步的安全控管。
不出事就話當然沒事，但在想要讓它出事的人看來，難度真的不高。

作者: ideoched 時間: 2016-7-27 04:26 PM

樓主若有興趣，可以去稍稍追蹤一下為何會有這個問題
銀行業者對很多產品，從無到有，都是求快求簡單
軟體是跑得快，操作也簡單沒錯
但幾乎也把安全性給簡單掉了
真要解決安全性問題，必須全面性的提升對資安的觀念
不止是政府與企業，還有使用者

作者: preboot 時間: 2016-7-27 04:55 PM

還好我一直沒用銀行的APP
在臺灣就是，只要沒出事就沒人關心
等出事再來罵、再來檢討

作者: zogol 時間: 2016-7-27 09:13 PM

資訊安全都是出包後才會被重視的。

作者: kellyleon 時間: 2016-7-28 06:10 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: 9144022 時間: 2016-7-28 06:30 PM

覺得消費白紙黑字的發票才是最實在的  只要有發票去退貨只要商品包裝沒損壞哪怕拆裝過

幾乎都可以  店員也不會跟你囉嗦但在網路消費....只要負費後  一出問題

關溝通就常常以星期計算  而且很難退費...

作者: tcttct 時間: 2016-7-29 10:28 PM

17家都存在較高的資安風險。該公佈是哪17家讓大眾小心.

作者: b1300056 時間: 2016-7-29 11:12 PM

怎麼會不安全...消費者手機不要下載有的沒的就好了阿...
反正方便本來就容易變成隨便麻...

APP到底哪時候安全過了...不然Apple堅持把關app的用意在哪...?

作者: 被螞蟻撞倒 時間: 2016-7-30 04:51 PM

提示: 作者被禁止或刪除內容自動屏蔽

作者: S210070 時間: 2016-7-30 09:07 PM

不論是歐美的大型銀行還是台灣的金融業，資安的問題一直都很嚴重，偏偏保守的銀行業又不肯去正視這些問題，才會讓駭客搞國際犯罪集團到處犯案

作者: auke258 時間: 2016-7-31 07:04 AM

還好我也一直沒用銀行的APP,
出事的時候,責任歸屬通常都會被銀行推掉

作者: a5720104 時間: 2016-8-1 03:27 AM

原來有這麼多家不安全
好在個人不用銀行APP
不然難保未來不會因此成為受害者

作者: bluefox256 時間: 2016-8-1 09:32 AM

提示: 作者被禁止或刪除內容自動屏蔽

作者: ellis0114 時間: 2016-8-1 09:48 AM

看來還是不要用一些3c的東西來管理銀行帳號了,要不然被盜後就血汗錢就被拿了了~

作者: thanksbye 時間: 2016-8-1 10:43 AM

提示: 作者被禁止或刪除內容自動屏蔽

作者: 一起夠 時間: 2016-8-1 11:03 AM

看到一銀盜領案

這種APP越來越不敢用了

作者: jake70514 時間: 2016-8-1 12:23 PM

資安風險難防
應該說人找漏洞很厲害

作者: ja996879 時間: 2016-8-1 12:52 PM

沒出包之前是不會有多大的作為的~

歡迎光臨伊莉討論區 (http://www.blog.eyny.com/)