在網路空間裏,……壞人等於是在我們睡覺的時候已經站在床邊,但大多數人卻依然從容,甚至是對這種威脅一無所知。
~國際刑警組織顧問、《未來的犯罪》作者馬克.古德曼(Marc Goodman)
一銀ATM到底如何被植入惡意程式,迄今檢調仍在調查中。但離我們更切身的的資安危機,已經迫近。
根據《天下雜誌》獨家取得鑒真數位app資安檢定調查,過半在Google Play上架的國銀app,有明顯的資安漏洞,在公用無線上網WiFi環境下,駭客就有機會能竊取用戶的帳號密碼。
鑒真數位是老字號的資安鑑識業者,也是國內少數通過財團法人全國認證基金會(TAF)公告,能做「行動應用app基本資安檢測實驗室」的公司,其客戶包括法務部、調查局。
鑒真數位抽測國內資本額前二十大銀行,在Google Play上架的行動網銀app,共二十支,其中包括六家公股行庫,十四家民間銀行。檢測項目包括四項:憑證綁定、虛擬環境偵測及反制、程式碼混淆、除錯訊息是否含敏感資訊。(測試版本皆為今年五月二十日前最新版)
20大銀行app 有17家不安全
結果發現,除玉山銀、第一銀、元大銀三家app,資安嚴重等級屬「輕微」──也就是四項檢測中僅一項不符,其他十七家都存在較高的資安風險。特別是,高達十四支、七成的app憑證未綁定;這十四支app中,有十一支未對帳號和密碼做加密,駭客可輕鬆取得所有帳號與密碼。(見表)
鑒真執行長黃敬博解釋,「憑證綁定」是指,每次用戶開啟app跟銀行連線,app要確認連上的是真的銀行伺服器,就要靠憑證綁定。但鑒真檢測卻發現,大部份銀行app未做好把關,讓駭客可偽造假憑證。最有可能的做法是,駭客切入用戶與銀行連線之間,有如中間人般,取得用戶與銀行間的網路傳輸內容。
其中又以十一支app沒有做帳號與密碼加密,資安威脅最大。加密等於是多一層保護,如果不幸被駭,起碼駭客不會那麼容易拿到用戶的帳號、密碼,甚至身分證字號。
而「程式碼混淆」是為了增添萬一駭客入侵,對於程式碼解讀的困難度。此次調查發現共十四支app未做到程式碼混淆,「等於駭客看得懂你寫的程式,就知道哪邊寫不好,能針對漏洞去攻擊,」黃敬博說。
至於「虛擬環境偵測及反制」是指,銀行app在下載時,是否能察覺載具有問題。例如,駭客常運用「沙箱」(一種假冒的虛擬手機環境)來收集用戶行為。此次檢測中,除玉山銀,十九家銀行都可以被下載。
只有第四個檢測項目「除錯訊息含敏感資訊」,幾乎全數過關,是表現最好的一項。
在公用地區上網 風險大增
黃敬博說明,一旦有資安有瑕疵,用戶如果在公用無線上網地區使用銀行app,雖然仍有一定難度,但被有心駭客侵入的風險就大增。但若是用家用WiFi、3G或4G連線,就會比較安全。
但「看到結果,說實話,自己也嚇壞了,」黃敬博憂心地說。以「程式碼混淆」有十四家未通過檢測為例,「這是寫程式的基本資安邏輯,這叫basic common sense。」
他說,程式碼沒混淆、除錯訊息沒關掉,都反映開發者在程式上架前有重大疏失。
為什麼不安全率這麼高?黃敬博說,其實從網頁時代就有中間人攻擊,差別在瀏覽器僅幾家大廠,如微軟、Chrome、Firefox,對待網路憑證確認較謹慎。如今app開發者眾多,對資安防範的認知、專業參差不齊。且國內銀行app多委外開發,集中少數廠商。
另一家有app資安檢驗資格的業者,勤業眾信資安科技暨鑑識分析中心經理陳威棋指出,委外廠商很多是小公司,在時間壓力下,資安往往不是優先考量。黃敬博也說,此次檢測的四項資安問題,「對開發者來講,不是偉大的技術門檻,也不會影響app的運作流暢度,」他認為,問題出在大家不夠重視,心態停留在「先求有再求好」。
陳威棋觀察,許多app開發者會用現成的程式開發套件來寫app,這些現成套件比較容易被埋後門等漏洞,開發者貪圖一時方便,拿來開發將後患無窮。
銀行自律有用嗎?
《二○一六資誠全球經濟犯罪調查報告》已指出,逾五成受訪者認為,過去兩年,網路安全威脅的風險愈來愈多,且金融業威脅最大。
這麼高比例的不安全率,金管會如何解決?
金管會副主委桂先農接受《天下》記者訪問時說,目前由銀行公會訂定的自律規範,包括「金融機構提供行動裝置應用程式注意事項」、「金融機構辦理電子銀行業務安全控管作業基準」,均請公會轉知各大金控,由各金控切實落實內控。一旦違反可依銀行法第六十一之一條,視情節輕重予以程度不等的處分,最重可解除董事、監察人職務或停止其於一定期間內執行職務。
此次四項檢測項目中,「憑證綁定」、「虛擬環境偵測及反制」均名列自律規範項目,但第一項不及格率高達七成,第二項不及格率高達九五%,自律足夠嗎?金管機關恐怕必須說服消費者。
金管會官員透露,金管會已請銀行公會研議,未來金融業的app在上架前,必須先通過安全檢測。
但目前,一切請自求多福。
------------------------------------
app不安全 五招遠離駭客
鑒真數位報告發現,過半銀行的app都有嚴重的資安風險,意味着用戶直接面對駭客竊取個資與財務的威脅。
勤業眾信資安科技暨鑑識分析中心副總經理溫紹群指出,有別於早期駭客,目的只是要破壞系統,出於「好玩」或展示自己的實力;如今駭客已發展成為集團、組織,以謀取利益為目的,形成巨大、無國界的「黑色經濟」。
與資安威脅共存的時代,用戶如何自保?資安專家都說,駭客「入住」app,一般人很難察覺,但有五招可以避免自己成為駭客的目標:
第一招、定期更新系統版本。鑒真執行長黃敬博說,Android有個普通性,很多人不會升級,買了就固定了,因為覺得升級作業系統,會改變很多東西,很麻煩,這就成了駭客入侵的最佳管道。他說,一般iPhone的iOS作業環境比較沒這個問題,但Android用戶建議儘量升級到5.0以上版本
第二招、少用免費WiFi。勤業眾信資安科技暨鑑識分析中心經理陳威棋指出,天下沒有白吃的午餐,免費WiFi可能是不肖人士架設的無線基地台(AP),誘使大家使用,當你輸入網銀帳密,駭客就有機會拿到你傳輸的資料。
黃敬博也說,即使是公用WiFi,如捷運站、咖啡廳,駭客都能輕易執行中間人攻擊。陳威棋與黃敬博都建議,若要用免費WiFi,儘量不要做交易或私隱相關的資料傳輸。
第三招、安裝防毒軟體。
第四招、做好密碼管理,定期更新。除了密碼要有一定數量的字元,且包含英文字母大小寫、數字、符號,還要定期更新,像溫紹群每3個月就會更新一次密碼。
第五招、避免安裝來路不明或不需要的app。溫紹群說,自己做資安,知道安全沒有百分百,入口愈多,風險就愈高,因此他不會裝他不會用到的app。
此外,來路不明的app,會要很多用戶手機上的權限,如通訊錄資料、照片、定位等,也要避免下載安裝使用,可大幅減少個資外泄的風險。
他笑說,有個小撇步是看手機溫度。若手機「沒事在發燒,代表它在運算,才會耗電。」也就是說,當你明明沒在執行什麼程式,但手機發熱,代表駭客可能已經駭入你的手機,正在偷走你手機里的敏感資訊。
