■黃詩銘指,常見香港手機應用程式的安全程度甚低。香港文匯報訊 以手機應用程式(App)買股票日漸流行,但昨日公佈的一項研究發現,港人常用的智能手機股票交易App在缺乏強大的安全系統下,極易受駭客惡意攻擊。在140個受測試的Android買股App中,有近半(43.8%)未能通過測試。研究測試了25個安全指數,發現有超過八成半(86%)的應用程式在首5個嚴重性最高的指數中皆不合格。
極易受駭客惡意攻擊
移動安全研究所(Mobile Security Research Lab)於今年4月至7月期間抽取香港市面上140個Android智能手機股票交易應用程式作詳盡分析,測試其25個安全指數,以了解香港現時手機應用程式安全程度。研究結果顯示,香港的智能手機股票交易應用程式在缺乏強大的安全系統下,極易受駭客惡意攻擊,因此這些應用程式用戶的個人資料可能被盜取。
報告中測試了25個安全指數,有超過八成半(86%)的應用程式在首五個嚴重性最高的指數中皆不合格。其中一個指數─安全通訊─雖然相對2015年及2016年的報告有改善,但140個受測試的應用程式中仍有近半(43.8%)未能通過測試。報告中雖有四個指數達到百分百的合格率,不過主因卻是大部分應用程式沒有使用相關功能。
研究亦針對兩項手提電話安全工具─電子證書(Digital Certificate)及加密鑰匙(Encryption Key)─作出分析。發現73個應用程式中有13個電子證書不是獨立的,駭客可輕易複製使用者的個人鑰匙,從而盜取個人資料。2015年的報告顯示超過三分一的手機應用程式在處理憑證及資料傳輸缺乏加密安全系統,而「加密」方式是保護個人資料的第一道防護網。是次研究有高達98%的手機應用程式有被反向追蹤原始碼(Reverse Engineering)的風險,可構成廣泛及嚴重的洩漏個人私隱問題。由此可見,眾多手機應用程式開發商忽略電子證書及加密鑰匙兩道基本安全系統防護網。
籲加入雙重認證功能
研究結果顯示手機股票交易應用程式的安全性面對巨大挑戰,應即時作出應對。香港無線科技商會建議,此類手機應用程式開發者於軟件開發生命周期(SDLC)採取有力安全控制措施。雙重認證(2FA)已廣泛應用於網上銀行理財服務,遺憾未有用於研究中大部分的手機股票交易應用程式。香港無線科技商會建議證監會加緊立例,由第三方組織或團體進行手機應用程式安全設定審查,例如根據OWASP Mobile Top 10 2016的安全標準,以確保其安全性。
專業資訊保安協會內務副主席黃詩銘表示,這份研究報告指出常用於香港的手機應用程式安全程度甚低,尤其是手機股票交易應用程式。研究中被測試的大部分手機股票交易應用程式不能通過高度安全性檢測。例如,基本Root的檢測(Root Detection)亦未有做好。這顯示手機股票交易應用程式的安全程度更遜於手機遊戲應用程式。希望此報告能有助應用程式開發商識別手機股票交易應用程式的安全問題,更有效保護客戶及手機使用者。