在网路空间里,……坏人等于是在我们睡觉的时候已经站在床边,但大多数人却依然从容,甚至是对这种威胁一无所知。
~国际刑警组织顾问、《未来的犯罪》作者马克.古德曼(Marc Goodman)
一银ATM到底如何被植入恶意程式,迄今检调仍在调查中。但离我们更切身的的资安危机,已经迫近。
根据《天下杂志》独家取得鉴真数位app资安检定调查,过半在Google Play上架的国银app,有明显的资安漏洞,在公用无线上网WiFi环境下,骇客就有机会能窃取用户的帐号密码。
鉴真数位是老字号的资安鉴识业者,也是国内少数通过财团法人全国认证基金会(TAF)公告,能做“行动应用app基本资安检测实验室”的公司,其客户包括法务部、调查局。
鉴真数位抽测国内资本额前二十大银行,在Google Play上架的行动网银app,共二十支,其中包括六家公股行库,十四家民间银行。检测项目包括四项:凭证绑定、虚拟环境侦测及反制、程式码混淆、除错讯息是否含敏感资讯。(测试版本皆为今年五月二十日前最新版)
20大银行app 有17家不安全
结果发现,除玉山银、第一银、元大银三家app,资安严重等级属“轻微”──也就是四项检测中仅一项不符,其他十七家都存在较高的资安风险。特别是,高达十四支、七成的app凭证未绑定;这十四支app中,有十一支未对帐号和密码做加密,骇客可轻松取得所有帐号与密码。(见表)
鉴真执行长黄敬博解释,“凭证绑定”是指,每次用户开启app跟银行连线,app要确认连上的是真的银行伺服器,就要靠凭证绑定。但鉴真检测却发现,大部份银行app未做好把关,让骇客可伪造假凭证。最有可能的做法是,骇客切入用户与银行连线之间,有如中间人般,取得用户与银行间的网路传输内容。
其中又以十一支app没有做帐号与密码加密,资安威胁最大。加密等于是多一层保护,如果不幸被骇,起码骇客不会那么容易拿到用户的帐号、密码,甚至身分证字号。
而“程式码混淆”是为了增添万一骇客入侵,对于程式码解读的困难度。此次调查发现共十四支app未做到程式码混淆,“等于骇客看得懂你写的程式,就知道哪边写不好,能针对漏洞去攻击,”黄敬博说。
至于“虚拟环境侦测及反制”是指,银行app在下载时,是否能察觉载具有问题。例如,骇客常运用“沙箱”(一种假冒的虚拟手机环境)来收集用户行为。此次检测中,除玉山银,十九家银行都可以被下载。
只有第四个检测项目“除错讯息含敏感资讯”,几乎全数过关,是表现最好的一项。
在公用地区上网 风险大增
黄敬博说明,一旦有资安有瑕疵,用户如果在公用无线上网地区使用银行app,虽然仍有一定难度,但被有心骇客侵入的风险就大增。但若是用家用WiFi、3G或4G连线,就会比较安全。
但“看到结果,说实话,自己也吓坏了,”黄敬博忧心地说。以“程式码混淆”有十四家未通过检测为例,“这是写程式的基本资安逻辑,这叫basic common sense。”
他说,程式码没混淆、除错讯息没关掉,都反映开发者在程式上架前有重大疏失。
为什么不安全率这么高?黄敬博说,其实从网页时代就有中间人攻击,差别在浏览器仅几家大厂,如微软、Chrome、Firefox,对待网路凭证确认较谨慎。如今app开发者众多,对资安防范的认知、专业参差不齐。且国内银行app多委外开发,集中少数厂商。
另一家有app资安检验资格的业者,勤业众信资安科技暨鉴识分析中心经理陈威棋指出,委外厂商很多是小公司,在时间压力下,资安往往不是优先考量。黄敬博也说,此次检测的四项资安问题,“对开发者来讲,不是伟大的技术门槛,也不会影响app的运作流畅度,”他认为,问题出在大家不够重视,心态停留在“先求有再求好”。
陈威棋观察,许多app开发者会用现成的程式开发套件来写app,这些现成套件比较容易被埋后门等漏洞,开发者贪图一时方便,拿来开发将后患无穷。
银行自律有用吗?
《二○一六资诚全球经济犯罪调查报告》已指出,逾五成受访者认为,过去两年,网路安全威胁的风险愈来愈多,且金融业威胁最大。
这么高比例的不安全率,金管会如何解决?
金管会副主委桂先农接受《天下》记者访问时说,目前由银行公会订定的自律规范,包括“金融机构提供行动装置应用程式注意事项”、“金融机构办理电子银行业务安全控管作业基准”,均请公会转知各大金控,由各金控切实落实内控。一旦违反可依银行法第六十一之一条,视情节轻重予以程度不等的处分,最重可解除董事、监察人职务或停止其于一定期间内执行职务。
此次四项检测项目中,“凭证绑定”、“虚拟环境侦测及反制”均名列自律规范项目,但第一项不及格率高达七成,第二项不及格率高达九五%,自律足够吗?金管机关恐怕必须说服消费者。
金管会官员透露,金管会已请银行公会研议,未来金融业的app在上架前,必须先通过安全检测。
但目前,一切请自求多福。
------------------------------------
app不安全 五招远离骇客
鉴真数位报告发现,过半银行的app都有严重的资安风险,意味着用户直接面对骇客窃取个资与财务的威胁。
勤业众信资安科技暨鉴识分析中心副总经理温绍群指出,有别于早期骇客,目的只是要破坏系统,出于“好玩”或展示自己的实力;如今骇客已发展成为集团、组织,以谋取利益为目的,形成巨大、无国界的“黑色经济”。
与资安威胁共存的时代,用户如何自保?资安专家都说,骇客“入住”app,一般人很难察觉,但有五招可以避免自己成为骇客的目标:
第一招、定期更新系统版本。鉴真执行长黄敬博说,Android有个普通性,很多人不会升级,买了就固定了,因为觉得升级作业系统,会改变很多东西,很麻烦,这就成了骇客入侵的最佳管道。他说,一般iPhone的iOS作业环境比较没这个问题,但Android用户建议尽量升级到5.0以上版本
第二招、少用免费WiFi。勤业众信资安科技暨鉴识分析中心经理陈威棋指出,天下没有白吃的午餐,免费WiFi可能是不肖人士架设的无线基地台(AP),诱使大家使用,当你输入网银帐密,骇客就有机会拿到你传输的资料。
黄敬博也说,即使是公用WiFi,如捷运站、咖啡厅,骇客都能轻易执行中间人攻击。陈威棋与黄敬博都建议,若要用免费WiFi,尽量不要做交易或隐私相关的资料传输。
第三招、安装防毒软体。
第四招、做好密码管理,定期更新。除了密码要有一定数量的字元,且包含英文字母大小写、数字、符号,还要定期更新,像温绍群每3个月就会更新一次密码。
第五招、避免安装来路不明或不需要的app。温绍群说,自己做资安,知道安全没有百分百,入口愈多,风险就愈高,因此他不会装他不会用到的app。
此外,来路不明的app,会要很多用户手机上的权限,如通讯录资料、照片、定位等,也要避免下载安装使用,可大幅减少个资外泄的风险。
他笑说,有个小撇步是看手机温度。若手机“没事在发烧,代表它在运算,才会耗电。”也就是说,当你明明没在执行什么程式,但手机发热,代表骇客可能已经骇入你的手机,正在偷走你手机里的敏感资讯。
