近半炒股Apps資料易外洩 保安漏洞惹黑客 倡證監設安全審查
原文刊於信報財經新聞
梁國基(左二)說,這次測試的應用程式大部分由中小證券行推出。(黃潤根攝)
香港無線科技商會(WTIA)發表有關手機股票交易應用程式(Apps)安全性的報告,發現近半(44%)這類Apps未能通過「安全通訊」測試,即存在容易遭黑客利用假Apps盜取資料的風險。證監會早前就建議降低互聯網交易的黑客入侵風險展開市場諮詢,建議包括客戶採用雙重認證。商會認為,證監應為手機股票交易Apps進行安全設定審查。
中小行難推雙重認證
商會於今年4月至7月期間,抽取本港市面上140個Android手機股票交易Apps進行分析,測試其25個安全指數。在其中9個安全指數的測試中,有接近或超過八成手機股票交易Apps「肥佬」。例如多達137個Apps(98%)有被反向追蹤原始碼的風險,可構成廣泛及嚴重的洩漏個人私隱問題。
該140個Apps的「安全通訊」測試中,約44%未能通過,而沒有獨立電子證書的有13個。移動安全研究所資訊安全研究員周志輝提到,有應用程式開發商用一個電子證書做多個Apps,讓黑客有機可乘,利用假Apps盜取客戶資料。
據了解,黑客並不能從客戶賬戶轉走資金,所以會盜用客戶賬戶進行「搭棚」交易,讓黑客或相關人士散貨獲利,導致客戶損失慘重。
年半27個案涉1.1億
證監會指出,在截至今年3月底止18個月,有12家持牌機構舉報了27宗網絡保安事故,大多數涉及黑客入侵,造成了總額超過1.1億元的未經授權交易。證監會於5月時就建議降低互聯網交易的黑客入侵風險,展開為期兩個月的諮詢。
證監會的建議包括在客戶登入系統時,實施雙重認證。專業資訊保安協會項目總監梁國基說,銀行就網上交易較能實施雙重認證,但中小證券行在這方面較不願意投入成本,這次測試的140個Apps,大部分由中小證券行推出。
梁國基建議,手機股票交易服務應同時提供交易通知方法,例如透過手機短訊或電郵,讓投資者對未經授權交易有所察覺。商會亦建議證監會加緊立例,由第三方組織或團體為手機股票交易Apps,進行安全設定審查。
專業資訊保安協會內務副主席黃詩銘建議市民使用股票交易Apps時避免連上WiFi,同時要定期更新手機。
今次調查抽取Android手機的股票交易Apps進行分析,發現近半未能通過測試。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
