網上銀行危機四伏 發展中國家情況最為嚴重

智能手機普及,即使在發展中國家,使用流動銀行服務的人數亦逐漸增加,但最新研究顯示,不少發展中國家內提供銀行服務的應用程式普遍因編程差劣帶來安全風險。

智能手機普及,即使在發展中國家,使用流動銀行服務的人數亦逐漸增加,但最新研究顯示,不少發展中國家內提供銀行服務的應用程式普遍因編程差劣帶來安全風險。

 

數百萬用戶資料恐外洩   巴菲泰印等五國為重災區

美國佛羅里達大學的研究人員找來了多個應用作分析,並集中分析其中七個在巴西、印度、印尼、泰國和菲律賓,有著數以百萬計用戶的銀行服務流動應用程式。結果發現這些應用程式存在大量安全隱患而且覆蓋層面廣泛,包括 SSL/TLS 缺乏、加密技術簡陋、資料洩漏等,有機會導致非法操控交易及修改財務記錄等嚴重問題。

這些帶有大量漏洞的應用程式目前引發的影響仍未知曉,研究報告中提到,很有可能使用這些應用程式的賬戶資料已外洩,並被利用作非法交易。而這些所謂『無網點』的銀行系統,利用網上銀行服務在發展中國家拓展業務,尤其在當地的窮困民眾長期無法使用傳統的銀行服務的情況下,他們就不得不依賴手機應用程式,而這些應用程式可以讓用戶進行匯款,支付賬單和查閱收支情況等服務。

 

漠視用戶利益  拒絕回應漏洞問題

以印度的 Oxigen Wallet 為例,該應用程式的漏洞令黑客可以利用 man-in-the-middle 技術攻擊,因為其簡陋的加密技術和驗證方式,黑客可以輕易破解 Oxigen 的賬號並進行未經賬戶持有人准許的交易。此外還有菲律賓的 GCash,印度的 Airtel Money 和 MoneyOnMobile,泰國的 mPAY,巴西的 Zuum 及 印尼的 mCoin 都是重點研究的應用程式,也被發現存在各種安全漏洞。

研究人員亦稱,在發表研究報告前曾將上訴應用程式的安全漏洞通知其所屬公司,但大部分均沒有作出回應,因此他們選擇將應用程式的名稱和漏洞公開,讓用戶知道他們正在使用不安全的服務及正面臨的風險,報告由五位研究人員聯合撰寫,他們分別是 Bradley Reaves, Nolen Scaife, Adam Bates, Patrick Traynor 和 Kevin R.B. Butler。

Source: PCWorld