新葡京游戏平台网站

新葡京游戏平台网站

骇客就在你身边 手机app资讯安全出危机 组图

2017-09-04 09:43:04编辑:尚掐人气:



在网路空间里,……坏人等于是在我们睡觉的时候已经站在床边,但大多数人却依然从容,甚至是对这种威胁一无所知 ~国际刑警组织顾问、《未来的犯罪》作者马克.古德曼(Marc Goodman) 一银ATM到底如何被植入恶意程式,迄今检调仍在调查中但离我们更切身的的资安危机,已经迫近 根据《天下杂志》独家取得鉴真数位app资安检定调查,过半在Google Play上架的国银app,有明显的资安漏洞,在公用无线上网WiFi环境下,骇客就有机会能窃取用户的帐号密码 鉴真数位是老字号的资安鉴识业者,也是国内少数通过财团法人全国认证基金会(TAF)公告,能做“行动应用app基本资安检测实验室”的公司,其客户包括法务部、调查局 鉴真数位抽测国内资本额前二十大银行,在Google Play上架的行动网银app,共二十支,其中包括六家公股行库,十四家民间银行检测项目包括四项:凭证绑定、虚拟环境侦测及反制、程式码混淆、除错讯息是否含敏感资讯(测试版本皆为今年五月二十日前最新版) 20大银行app 有17家不安全 结果发现,除玉山银、第一银、元大银三家app,资安严重等级属“轻微”──也就是四项检测中仅一项不符,其他十七家都存在较高的资安风险特别是,高达十四支、七成的app凭证未绑定;这十四支app中,有十一支未对帐号和密码做加密,骇客可轻松取得所有帐号与密码(见表) 鉴真执行长黄敬博解释,“凭证绑定”是指,每次用户开启app跟银行连线,app要确认连上的是真的银行伺服器,就要靠凭证绑定但鉴真检测却发现,大部份银行app未做好把关,让骇客可伪造假凭证最有可能的做法是,骇客切入用户与银行连线之间,有如中间人般,取得用户与银行间的网路传输内容 其中又以十一支app没有做帐号与密码加密,资安威胁最大加密等于是多一层保护,如果不幸被骇,起码骇客不会那么容易拿到用户的帐号、密码,甚至身分证字号 而“程式码混淆”是为了增添万一骇客入侵,对于程式码解读的困难度此次调查发现共十四支app未做到程式码混淆,“等于骇客看得懂你写的程式,就知道哪边写不好,能针对漏洞去攻击,”黄敬博说 至于“虚拟环境侦测及反制”是指,银行app在下载时,是否能察觉载具有问题例如,骇客常运用“沙箱”(一种假冒的虚拟手机环境)来收集用户行为此次检测中,除玉山银,十九家银行都可以被下载 只有第四个检测项目“除错讯息含敏感资讯”,几乎全数过关,是表现最好的一项 在公用地区上网 风险大增 黄敬博说明,一旦有资安有瑕疵,用户如果在公用无线上网地区使用银行app,虽然仍有一定难度,但被有心骇客侵入的风险就大增但若是用家用WiFi、3G或4G连线,就会比较安全 但“看到结果,说实话,自己也吓坏了,”黄敬博忧心地说以“程式码混淆”有十四家未通过检测为例,“这是写程式的基本资安逻辑,这叫basic common sense” 他说,程式码没混淆、除错讯息没关掉,都反映开发者在程式上架前有重大疏失 为什么不安全率这么高黄敬博说,其实从网页时代就有中间人攻击,差别在浏览器仅几家大厂,如微软、Chrome、Firefox,对待网路凭证确认较谨慎如今app开发者众多,对资安防范的认知、专业参差不齐且国内银行app多委外开发,集中少数厂商 另一家有app资安检验资格的业者,勤业众信资安科技暨鉴识分析中心经理陈威棋指出,委外厂商很多是小公司,在时间压力下,资安往往不是优先考量黄敬博也说,此次检测的四项资安问题,“对开发者来讲,不是伟大的技术门槛,也不会影响app的运作流畅度,”他认为,问题出在大家不够重视,心态停留在“先求有再求好” 陈威棋观察,许多app开发者会用现成的程式开发套件来写app,这些现成套件比较容易被埋后门等漏洞,开发者贪图一时方便,拿来开发将后患无穷 银行自律有用吗 《二○一六资诚全球经济犯罪调查报告》已指出,逾五成受访者认为,过去两年,网路安全威胁的风险愈来愈多,且金融业威胁最大 这么高比例的不安全率,金管会如何解决 金管会副主委桂先农接受《天下》记者访问时说,目前由银行公会订定的自律规范,包括“金融机构提供行动装置应用程式注意事项”、“金融机构办理电子银行业务安全控管作业基准”,均请公会转知各大金控,由各金控切实落实内控一旦违反可依银行法第六十一之一条,视情节轻重予以程度不等的处分,最重可解除董事、监察人职务或停止其于一定期间内执行职务 此次四项检测项目中,“凭证绑定”、“虚拟环境侦测及反制”均名列自律规范项目,但第一项不及格率高达七成,第二项不及格率高达九五%,自律足够吗金管机关恐怕必须说服消费者 金管会官员透露,金管会已请银行公会研议,未来金融业的app在上架前,必须先通过安全检测 但目前,一切请自求多福 ------------------------------------ app不安全 五招远离骇客 鉴真数位报告发现,过半银行的app都有严重的资安风险,意味着用户直接面对骇客窃取个资与财务的威胁 勤业众信资安科技暨鉴识分析中心副总经理温绍群指出,有别于早期骇客,目的只是要破坏系统,出于“好玩”或展示自己的实力;如今骇客已发展成为集团、组织,以谋取利益为目的,形成巨大、无国界的“黑色经济” 与资安威胁共存的时代,用户如何自保资安专家都说,骇客“入住”app,一般人很难察觉,但有五招可以避免自己成为骇客的目标: 第一招、定期更新系统版本鉴真执行长黄敬博说,Android有个普通性,很多人不会升级,买了就固定了,因为觉得升级作业系统,会改变很多东西,很麻烦,这就成了骇客入侵的最佳管道他说,一般iPhone的iOS作业环境比较没这个问题,但Android用户建议尽量升级到5.0以上版本 第二招、少用免费WiFi勤业众信资安科技暨鉴识分析中心经理陈威棋指出,天下没有白吃的午餐,免费WiFi可能是不肖人士架设的无线基地台(AP),诱使大家使用,当你输入网银帐密,骇客就有机会拿到你传输的资料 黄敬博也说,即使是公用WiFi,如捷运站、咖啡厅,骇客都能轻易执行中间人攻击陈威棋与黄敬博都建议,若要用免费WiFi,尽量不要做交易或隐私相关的资料传输 第三招、安装防毒软体 第四招、做好密码管理,定期更新除了密码要有一定数量的字元,且包含英文字母大小写、数字、符号,还要定期更新,像温绍群每3个月就会更新一次密码 第五招、避免安装来路不明或不需要的app温绍群说,自己做资安,知道安全没有百分百,入口愈多,风险就愈高,因此他不会装他不会用到的app 此外,来路不明的app,会要很多用户手机上的权限,如通讯录资料、照片、定位等,也要避免下载安装使用,可大幅减少个资外泄的风险 他笑说,有个小撇步是看手机温度若手机“没事在发烧,代表它在运算,才会耗电”也就是说,当你明明没在执行什么程式,但手机发热,代表骇客可能已经骇入你的手机, 
(来源:)

新葡京游戏平台网站二维码生成器
已推荐
0
  • 凡本网注明"来源:新葡京游戏平台网站的所有作品,版权均属于中新葡京游戏平台网站,转载请必须注明中新葡京游戏平台网站,。违反者本网将追究相关法律责任。
  • 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
  • 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。





友情链接:

[网上传播视听节目许可证(0106123438)] [京ICP证040655号] [京公网安备:1101030424452] [京ICP备0502340号-1] 总机:86-10-8777886688 违法和不良信息举报电话:156989788000

骇客就在你身边 手机app资讯安全出危机 组图_新葡京游戏平台网站
Copyright(C)新葡京游戏平台网站www.yhoog.com All Rights Reserved   
返回首页