行動支付戰爭展開 駭客伺機竄改APP竊取個資盜刷
※來源:NOWnews

▲行動支付戰爭已經展開,許多 APP 都有支援綁定信用卡或電子錢包的功能,或者可利用 NFC 輕鬆感應付款。(圖/資料照片)

行動支付戰爭已經展開,目前已經有許多 APP 都有支援綁定信用卡或電子錢包的功能,或者可利用 NFC 輕鬆感應付款。不過就算手機已經具備多項辨識功能,但只要核心軟體遭到竊取破解,就很容易被植入程式碼,導致使用者資訊外洩,一旦發生盜刷等案件,業者商譽恐怕將難以挽回。

部分手機使用者喜歡「Root」系統程式,取得最高的管理權限,進而能使用許多非官方的程式 APK,儘管這些應用程式功能與介面很可能跟官方程式外觀上相似,但下載的可能是經過駭客處理過的盜版,程式碼往往都已經遭到竄改,使用者在使用上將大幅提升資安的風險。倘若是運用在非法的行動支付 APP,便極度有可能將個人資訊傳送到第三方遭有心人士利用。

▲網路上不時有網友破解的 APK 程式分享,使用者應避免使用。(圖/翻攝自 apk.tw 官網)

▲國內也曾有銀行 APP 記憶體被動態植入惡意程式碼,造成使用者無法使用。(圖/翻攝自騰訊視頻)

如日前美國知名零售品牌就曾證實,旗下的支付系統遭到駭客入侵,駭客在系統上端植入惡意程式,非法蒐集了消費者的金融卡資料。而該品牌在全美設有上百個門市與數個暢貨中心,被駭走的金融卡的資料不在少數。

在各大論壇上,也不時可以看到有網友分享破解版的銀行電子錢包 APK 程式,倘若下載來使用,風險也將大為提升。專家建議,在享受行動支付帶來便利的同時,也要留意儘量避免破解手機取得最高權限,更不要在非官方的平台下載 APP,使用 NFC 功能也要避免長時間開啟,避免個資外洩,開發商也有責任採用行動安全的防護機制,避免消費者受「駭」。

由於這類的案件層出不窮,日前國家通訊委員會(NCC)就提出,未來不論手機製造商、經銷商、代理商、電信業者等,販售手機內建應用軟體,都應自主送檢,以強化手機的資安規格。同時,配合行政院推動之《資通安全管理法》,也確立未來採購公務手機時,資通安全設施、手機資安都必須通過認證,以符合相關規範。

NOWnews 本次訪問了國內長期專注於資安防護的果核數位提到,行動支付 APP 不僅需要使用特殊的加密的技術,對於儲存在手機的資料要做加密與綁定裝置,傳輸時亦須加密,避免在傳輸的過程中遭駭,另外也需要有防止 APK 修改或重新打包,避免被駭客進行逆向工程,將原始碼還原,然後從中找出可以修改或加入惡意程式碼的地方,重新封裝成新的 APP 發布。有了上述的防護機制,就能大幅降低遭破解的風險。

不論是 APP 的開發商或是手機製造商,在產品出廠前都需要多一層防護確認,如市場上專精於資安防護的 appGuard,保護 APP 只需要 30 分鐘,不需要原始碼,同時還提供實驗室安全認證證書。目前 appGuard 合作廠商包含了國內外許多大型業者,例如中華郵政、元大銀行、元大投信、歐付寶、安聯人壽… 大型金融業者等等,架上應用程式都已經使用 appGuard 資訊安全防護。

日前歐付寶董事長林一泓更在臉書公開表示,「在正常使用歐付寶『電子支付』(包含行動支付),若帳密仍被盜歐付寶買單賠償,全權負責。」可見歐付寶不但具有創新思考及快速反應市場的能力,也重視消費者權益,對其資訊安全強度相當有信心。

 

 

『新聞來源/NOWnews http://www.nownews.com/