Android股票交易程式存安全漏洞
【本報訊】用手機程式買股票快捷又方便,但有研究發現市面不少手機程式安全度存疑。有商會早前測試市面上一百四十個Android手機股票交易Apps(應用程式),在二十五個測試項目中,發現不少手機程式都存在安全漏洞,如九成八測試手機程式有被反向追蹤原始碼的風險,構成個人私隱洩漏問題;近一成程式不設獨立電子證書,黑客可複製使用者的個人鑰匙,從而盜取用戶個人資料;而模擬黑客為了套取用戶密碼、資料展開的惡意攻擊,全部程式均無法招架。資訊科技界人士呼籲,市民使用手機程式交易時應避免連上WiFi,手機程式亦要定期更新、並安裝防毒軟件自保。
測試包括東亞及大新銀行
香港無線科技商會設立的移動安全研究所聯同香港專業教育學院,在四至七月於Google Play Store下載當時架上全數獲香港交易所認可的一百四十個Android手機股票應用程式作分析,當中不乏本地銀行及證券公司的程式,包括東亞銀行、大新銀行等。
在二十五個測試項目如「安全通訊」、「惡意代碼注入攻擊」及「動態調試攻擊」中,研究人員會以攻擊方式偵測漏洞,並針對手機安全工具「電子證書」及「加密鑰匙」作出研究,結果發現九成八的手機程式有被反向追蹤原始碼的風險;在「惡意代碼注入攻擊」及「動態調試攻擊」兩項測試中,更是全部手機程式均不合格,黑客可藉此肆意加插額外功能,掌握用戶的資料,致用戶密碼及資料隨時外洩。
專家:定期更新 安裝防毒
研究發現近四成半手機程式的「安全通訊」亦受到威脅,反映相關程式在缺乏強大安全系統下,容易受黑客惡意攻擊,或令用戶個人資料被盜取。
資訊科技界立法會議員莫乃光指,市民依賴手機股票交易程式管理資產容易成為犯罪目標,政府應教育大眾選擇具高度安全標準的程式。專業資訊保安協會內務副主席黃詩銘則建議,市民用手機程式時應避免連上WiFi、定期更新手機,以及安裝防毒軟件。國際資訊系統安全認證協會香港分會主席梁國基亦指,市民可在應用程式設定額外通知方式,提醒自己有否進行買賣。
東亞銀行發言人表示,未曾接獲與手機程式相關的網絡安全事故,強調該行非常重視Apps的網絡安全,會按監管機構的要求嚴格執行相關風險評估及風險管理,及提升保安系統,以防範任何系統異常情況。大新銀行亦指,一向着重流動證券交易活動的安全性,並採取嚴密的安全措施,加密客戶和銀行之間所有透過互聯網傳送的重要資料,並採用多層防火牆,以更有效地防止未獲授權進入銀行系統。