專家吁提升應用程式加密保安
【香港商報訊】香港生產力促進局屬下的「香港電腦保安事故協調中心」,及專業資訊保安協會呼吁提供流動應用程式(App)的機構及開發商,采用「交易安全三部曲」,以通訊加密技術(SSL)、驗證數碼證書及證書鑑定技術,堵塞流動應用程式的通訊加密保安漏洞,防範黑客盜取用戶敏感的個人及交易資料。
逾三成通訊加密保安不足
協調中心及專業資訊保安協會於今年4月至7月進行「香港流動應用程式交易安全」研究,測試130個本地用戶常用的香港網上交易服務流動應用程式。研究發現,逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,黑客容易乘虛而入。
生產力局總經理(資訊科技業發展)黃家偉介紹研究結果說:「流動應用程式及WiFi技術迅速普及,令更多敏感的個人及交易資料在開放環境下傳輸。因此,業界必須加強通訊加密安全。」
假WiFi存取點易泄密破財
研究測試發現,34%流動應用程式沒有采用通訊加密技術,或沒有驗證數碼證書,容易遭受黑客攻擊。研究的流動應用程式根據服務性質分為七類,當中以電子錢包/付費服務及流動銀行服務應用程式的通訊加密保安較為良好,87%以上屬「安全」及「最安全」;戲院訂票及外賣落單服務的交易安全屬中等水平;逾半以上金融證券、網上商店/團購及旅游訂位服務應用程式屬於「存有漏洞」或沒有加密的「嚴重」級別。
專業資訊保安協會主席范健文說:「若流動應用程式沒有驗證數碼證書,黑客可設立虛假的WiFi存取點,并利用偽冒數碼證書,中途攔截或修改傳輸中的數據作不法勾當,令用戶蒙受嚴重的資料外泄或經濟損失。」
宜用數碼證書流動瀏覽器
黃家偉建議各界提升應用程式的通訊加密保安。他表示,市民切勿使用公共WiFi網絡傳輸敏感資料。若對應用程式的安全存疑,可采用能顯示網站數碼證書真偽的流動瀏覽器,或利用有加密功能的流動數據網絡進行交易。此外,不要在流動設備上安裝來歷不明的軟件或數碼證書。提供流動應用程式的機構及開發商則要為程式及伺服器之間的傳輸內容加密及在流動應用程式驗證數碼證書;并采用證書鑑定技術,保障安全。
為提升香港流動應用程式的交易安全,協調中心及專業資訊保安協會已編制《流動應用程式(SSL實施)最佳行事指引》,流動應用程式的所屬機構及開發商可從協調中心網站(www.hkcert.org)下載作參考;生產力局亦提供流動應用程式通訊加密保安審核服務協助業界,提升資訊安全。