You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss

34%網上交易app保安不足 易受黑客攻擊

By on September 15, 2015
APP 15SEP

圖1. 130款應用程式的評級分佈

有機構於今年4月至7月進行「香港流動應用程式交易安全」研究,測試130個本地用戶常用的香港網上交易服務流動應用程式。研究發現,逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,黑客容易乘虛而入。

研究由香港生產力促進局屬下的「香港電腦保安事故協調中心」,及專業資訊保安協會共同進行,測試發現34%流動應用程式沒有採用通訊加密技術,或沒有驗證數碼證書,容易遭受黑客攻擊。

網上商店App没有加密

研究的流動應用程式根據服務性質分為七類,當中以電子錢包/付費服務及流動銀行服務應用程式的通訊加密保安較為良好,87%以上屬「安全」及「最安全」;戲院訂票及外賣落單服務的交易安全屬中等水平;逾半以上金融證劵、網上商店/團購及旅遊訂位服務應用程式屬於「存有漏洞」或沒有加密的「嚴重」級別。

生產力局總經理(資訊科技業發展)黃家偉介紹研究結果表示:「流動應用程式及Wi-Fi技術迅速普及,令更多敏感的個人及交易資料在開放環境下傳輸。因此,業界必須加強通訊加密安全。」

專業資訊保安協會主席范健文表示:「若流動應用程式沒有驗證數碼證書,黑客可設立虛假的Wi-Fi存取點,並利用偽冒數碼證書,中途攔截或修改傳輸中的數據作不法勾當,令用戶蒙受嚴重的資料外洩或經濟損失。」

黃家偉建議各界提升應用程式的通訊加密保安。他表示:「市民切勿使用公共Wi-Fi網絡傳輸敏感資料。若對應用程式的安全存疑,可採用能顯示網站數碼證書真偽的流動瀏覽器,或利用有加密功能的流動數據網絡進行交易。此外,不要在流動設備上安裝來歷不明的軟件或數碼證書。提供流動應用程式的機構及開發商則要為程式及伺服器之間的傳輸內容加密及在流動應用程式驗證數碼證書;並採用證書鑑定技術,保障安全。」

兩間機構均呼籲提供流動應用程式的機構及開發商,採用「交易安全三部曲」,以通訊加密技術(SSL)、驗證數碼證書及證書鑑定技術,堵塞流動應用程式的通訊加密保安漏洞,防範黑客盜取用戶敏感的個人及交易資料,並已製定相關指引

圖2. 按服務分類的流動應用程式分佈

圖2. 按服務分類的流動應用程式分佈

3 PPL 15SEP

圖3. 生產力局總經理(資訊科技業發展)黃家偉(中)、香港電腦保安事故協調中心高級顧問梁兆昌(左)及專業資訊保安協會主席范健文,介紹「香港流動應用程式交易安全」研究的結果,並提供應用程式交易安全建議。

 

支持EJ Tech

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們