金融APP資安漏洞嚴重　顧客成為白老鼠

編譯／施毓萱

有高達九成的熱門銀行和金融服務應用程式有容易提取的秘密和漏洞問題，導致攻擊者可輕易竊取消費者數據和財務。Approov Mobile Threat Lab從Google Play上下載、解碼和掃描了美國、英國、法國和德國前200個金融服務應用程式，而總計共調查了650個。

在所調查的三個攻擊面(attack surface)中，在這650個應用程序中沒有一個符合所有條件，所有應用程序至少有一個類別不合格。其中加密應用程式更有可能洩露敏感訊息，因為36%的應用程序在掃描時立即提供高度敏感數據。

調查發現有92%的應用程序洩露了有價值或可利用資訊，還有23%的應用程式洩露敏感資訊。除此之外，掃描還顯示了運行時兩個關鍵的攻擊面，可用於竊取API金鑰(API key)。只有5%的應用程式對攻擊有良好的防禦措施，且只有4%對運行時的中間人攻擊（Man-in-the-Middle attack, MitM）有完善的防護力。

這樣的情況是否代表我們在不知不覺中成為金融服務應用程式的實驗白老鼠，或其實大家都讓個人財務處於危險之中？因為這項研究表明，我們的秘密事實上很容易取得。這些銀行或金融服務機構應該更加重視這類情況，以免越來越多顧客敏感資訊被竊取或被利用。

資料來源:HELP NET SECURITY

瀏覽 448 次