「香港流動應用程式交易安全」研究報告

在今年9月中，香港電腦保安事故協調中心 (HKCERT) 及專業資訊保安協會 (PISA) 發佈了「香港流動應用程式交易安全」研究。在這項研究，一共測試了130個本地用戶常用的香港網上交易服務流動應用程式。當中發現逾三分一應用程式在處理個人及交易資料時，通訊加密保安不足，容易受到中間人 (man-in-the-middle) (MITM) 攻擊，令通訊資料外洩。

研究目的主要是確認在香港常用應用程式上 SSL (Secure Sockets Layer) 通訊加密的保安問題，及希望藉此提高公眾、應用程式開發者及擁有者對流動應用程式上通訊加密的意識。

這次的測試目標是香港網上交易服務流動應用程式，它們會處理個人資料、帳號及密碼，或付款資料等。測試的應用程式於 4月至 7月從 iOS App Store 及 Android Google Play Store 官方商店下載。經過初部測試，最後收集了 130 款透過 HTTP 或 HTTPS 傳輸數據的應用程式，64款為 Android 應用程式，66款為 iOS 應用程式，並分類成以下 7 個類別：
●    流動銀行服務        (32款)
●    戲院訂票        (26款)
●    金融證劵        (24款)
●    網上商店/團購        (16款)
●    旅遊訂位服務        (13款)
●    外賣落單        (11款)
●    電子錢包/付費服務    (8款)

測試項目為以下 4項：
●    應用程式是否使用 SSL 通訊加密
●    若使用 SSL 通訊加密，應用程式對無效的 SSL 連線是否處理正確
●    應用程式有沒有使用進階的防止中間人保護技術，如證書鑑定 (Certificate Pinning)
●    在應用層，應用程式有沒有對敏感資料進行編碼或加密處理

測試方法則是透過使用代理 (Proxy) 模擬中間人截取應用程式與伺服器之間的通訊數據，如下圖

 在測試過程，每款應用程式會按以下面的等級制度來進行評級。

 以下是 130款應用程式測試後的統計資料：

研究發現 34%流動應用程式沒有採用通訊加密技術，或沒有驗證數碼證書，容易遭受中間人攻擊。當中以電子錢包/付費服務及流動銀行服務應用程式的通訊加密保安較為良好；戲院訂票及外賣落單服務的交易安全屬中等水平；逾半以上金融證劵、網上商店/團購及旅遊訂位服務應用程式屬於「存有漏洞」或沒有加密的「嚴重」級別。

詳細的研究報告，可參考《「香港流動應用程式交易安全」研究報告》

[下載]

為提升香港流動應用程式的交易安全，香港電腦保安事故協調中心（HKCERT）及專業資訊保安協會（PISA）已編製《流動應用程式 (SSL實施) 最佳行事指引》。這份文件講述一些常見處理方法，為流動應用程式開發人員提供合適的方向，以處理流動應用程式和服務器之間的SSL安全連接及防止中間人的攻擊。
 

《流動應用程式 (SSL實施) 最佳行事指引》

[下載]