跳至主內容

資訊保安專家呼籲採用通訊加密技術 提升香港流動應用程式交易安全

發佈日期: 2015年09月12日 1734 觀看次數

香港生產力促進局(生產力局)屬下的「香港電腦保安事故協調中心」,及專業資訊保安協會呼籲提供流動應用程式的機構及開發商,採用「交易安全三部曲」,以通訊加密技術(SSL)、驗證數碼證書及證書鑑定技術,堵塞流動應用程式的通訊加密保安漏洞,防範黑客盜取用戶敏感的個人及交易資料。

 

協調中心及專業資訊保安協會於今年4月至7月進行「香港流動應用程式交易安全」研究,測試130個本地用戶常用的香港網上交易服務流動應用程式。研究發現,逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,黑客容易乘虛而入。

 

生產力局總經理(資訊科技業發展)黃家偉介紹研究結果表示:「流動應用程式及Wi-Fi技術迅速普及,令更多敏感的個人及交易資料在開放環境下傳輸。因此,業界必須加強通訊加密安全。」

 

研究測試發現,34%流動應用程式沒有採用通訊加密技術,或沒有驗證數碼證書,容易遭受黑客攻擊。研究的流動應用程式根據服務性質分為七類,當中以電子錢包/付費服務及流動銀行服務應用程式的通訊加密保安較為良好,87%以上屬「安全」及「最安全」;戲院訂票及外賣落單服務的交易安全屬中等水平;逾半以上金融證劵、網上商店/團購及旅遊訂位服務應用程式屬於「存有漏洞」或沒有加密的「嚴重」級別。

 

圖1. 130款應用程式的評級分佈

 

圖2. 按服務分類的流動應用程式分佈

 

專業資訊保安協會主席范健文表示:「若流動應用程式沒有驗證數碼證書,黑客可設立虛假的Wi-Fi存取點,並利用偽冒數碼證書,中途攔截或修改傳輸中的數據作不法勾當,令用戶蒙受嚴重的資料外洩或經濟損失。」

 

黃家偉建議各界提升應用程式的通訊加密保安。他表示:「市民切勿使用公共Wi-Fi網絡傳輸敏感資料。若對應用程式的安全存疑,可採用能顯示網站數碼證書真偽的流動瀏覽器,或利用有加密功能的流動數據網絡進行交易。此外,不要在流動設備上安裝來歷不明的軟件或數碼證書。提供流動應用程式的機構及開發商則要為程式及伺服器之間的傳輸內容加密及在流動應用程式驗證數碼證書;並採用證書鑑定技術,保障安全。」

 

為提升香港流動應用程式的交易安全,協調中心及專業資訊保安協會已編製《流動應用程式(SSL實施)最佳行事指引》,流動應用程式的所屬機構及開發商可從協調中心網站(/my_url/guideline/15091401)下載作參考;生產力局亦提供流動應用程式通訊加密保安審核服務協助業界,提升資訊安全。

 

圖3. 生產力局總經理(資訊科技業發展)黃家偉(中)、香港電腦保安事故協調中心高級顧問梁兆昌(左)及專業資訊保安協會主席范健文,
介紹「香港流動應用程式交易安全」研究的結果,並提供應用程式交易安全建議