香港生產力促進局(生產力局)屬下的「香港電腦保安事故協調中心(HKCERT)」,及專業資訊保安協會(PISA)於今年 4 月至 7 月進行「香港流動應用程式交易安全」研究,測試 130 個本地用戶常用的香港網上交易服務流動應用程式,涵蓋七個類別。研究發現,逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,容易被黑客盜取用戶敏感的個人及交易資料。
安全技術缺一不可 Android、iOS 平台同受威脅
要堵塞流動應用程式的保安漏洞,通訊加密技術(SSL)、驗證數碼證書及證書鑑定三種安全技術缺一不可。今次 HKCERT 和 PISA 透過模擬黑客利用中間人攻擊無線接收站的方式,測試 iOS 和 Android 兩大流動平台上 130 個交易應用程式,發現有 34% 存在保安漏洞,其中 15% 評級為嚴重,19% 評級為存有漏洞。
一般用戶使用瀏覽器上網時,在網址列前方會顯示該網站有否使用 SSL 或 HTTPS 安全通訊協定,提示用戶該網站是否安全。但使用流動應用程式時,則沒有明確的提示,用戶無法知道自己的資料是否受通訊加密保護。
專業資訊保安協會主席范偉文表示,若流動應用程式沒有驗證數碼證書,意味著應用程式所收集的敏感性資料,例如電話號碼、信用卡號碼甚至背後的三位數字安全碼對黑客來說是不設防的,黑客可中途攔截或修改傳輸中的數據作不法勾當,令用戶蒙受嚴重的資料外洩或經濟損失。
香港電腦保安事故協調中心高級顧問梁兆昌補充,今次研究中,Android 與 iOS 兩個平台分別抽取了 64 個和 66 個應用程式作測試,兩者在嚴重、存有漏洞、安全、最安全的四項評級中的比例接近。
高風險交易應採用「最安全」級別 勿使用公共 WiFi 傳送敏感資料
是次研究的流動應用程式根據服務性質分為七類,當中以電子錢包/付費服務及流動銀行服務應用程式的通訊加密保安較為良好,87% 以上屬「安全」及「最安全」;戲院訂票及外賣落單服務的交易安全屬中等水平;逾半以上金融證劵、網上商店/團購及旅遊訂位服務應用程式屬於「存有漏洞」或沒有加密的「嚴重」級別。
生產力局總經理(資訊科技業發展)黃家偉介紹研究結果表示,業界必須加強通訊加密安全,而市民應避免使用公共 Wi-Fi 網絡使用交易程式傳輸敏感資料,並只使用從官方應用程式商店中下載的應用程式,不要安裝來歷不明的程式。如果對應用程式的安全存疑,可採用能顯示網站數碼證書真偽的流動瀏覽器,或利用有加密功能的流動數據網絡進行交易。
手機安全程式非萬能 無加密程式市民難防範
用戶可能有安裝手機安全應用程式來保障自己的資訊安全,但梁兆昌指手機安全程式一般是用於攔截企圖安裝到用戶手機的惡意程式,以及阻止用戶瀏覽惡意網站,不涉及通訊加密等方面的技術,該方面的技術主要是由於提供應用程式的機構和開發商負責,因此用戶不能因為安裝了手機安全應用程式就掉以輕心。
梁兆昌又指應用程式開發商要加強意識,開發程式時應採用加密技術。並已將有漏洞的應用程式名單提交予香港金融管理局、證監會及私隱專員公署等機構,亦已知會相關程式機構。
范偉文亦補充,普通用戶目前並沒有辦法查看使用的應用程式有否採用通訊加密或驗證數碼證書等技術,市民較難防範。用戶若有安全顧慮,可使用流動瀏覽器進行網上交易,但需注意使用安全的網絡,並留意交易過程中瀏覽器彈出的提示。
而為了提升香港流動應用程式的交易安全,協調中心及專業資訊保安協會已編製《流動應用程式(SSL實施)最佳行事指引》,流動應用程式的所屬機構及開發商可從協調中心網站下載作參考;生產力局亦提供流動應用程式通訊加密保安審核服務協助業界,提升資訊安全。