行動支付戰爭展開 駭客伺機竄改APP竊取個資盜刷

▲行動支付戰爭已經展開，許多 APP 都有支援綁定信用卡或電子錢包的功能，或者可利用 NFC 輕鬆感應付款。（圖／資料照片）

行動支付戰爭已經展開，目前已經有許多 APP 都有支援綁定信用卡或電子錢包的功能，或者可利用 NFC 輕鬆感應付款。不過就算手機已經具備多項辨識功能，但只要核心軟體遭到竊取破解，就很容易被植入程式碼，導致使用者資訊外洩，一旦發生盜刷等案件，業者商譽恐怕將難以挽回。

部分手機使用者喜歡「Root」系統程式，取得最高的管理權限，進而能使用許多非官方的程式 APK，儘管這些應用程式功能與介面很可能跟官方程式外觀上相似，但下載的可能是經過駭客處理過的盜版，程式碼往往都已經遭到竄改，使用者在使用上將大幅提升資安的風險。倘若是運用在非法的行動支付 APP，便極度有可能將個人資訊傳送到第三方遭有心人士利用。

▲網路上不時有網友破解的 APK 程式分享，使用者應避免使用。（圖／翻攝自 apk.tw 官網）

▲國內也曾有銀行 APP 記憶體被動態植入惡意程式碼，造成使用者無法使用。（圖／翻攝自騰訊視頻）

如日前美國知名零售品牌就曾證實，旗下的支付系統遭到駭客入侵，駭客在系統上端植入惡意程式，非法蒐集了消費者的金融卡資料。而該品牌在全美設有上百個門市與數個暢貨中心，被駭走的金融卡的資料不在少數。

在各大論壇上，也不時可以看到有網友分享破解版的銀行電子錢包 APK 程式，倘若下載來使用，風險也將大為提升。專家建議，在享受行動支付帶來便利的同時，也要留意儘量避免破解手機取得最高權限，更不要在非官方的平台下載 APP，使用 NFC 功能也要避免長時間開啟，避免個資外洩，開發商也有責任採用行動安全的防護機制，避免消費者受「駭」。

由於這類的案件層出不窮，日前國家通訊委員會（NCC）就提出，未來不論手機製造商、經銷商、代理商、電信業者等，販售手機內建應用軟體，都應自主送檢，以強化手機的資安規格。同時，配合行政院推動之《資通安全管理法》，也確立未來採購公務手機時，資通安全設施、手機資安都必須通過認證，以符合相關規範。

NOWnews 本次訪問了國內長期專注於資安防護的果核數位提到，行動支付 APP 不僅需要使用特殊的加密的技術，對於儲存在手機的資料要做加密與綁定裝置，傳輸時亦須加密，避免在傳輸的過程中遭駭，另外也需要有防止 APK 修改或重新打包，避免被駭客進行逆向工程，將原始碼還原，然後從中找出可以修改或加入惡意程式碼的地方，重新封裝成新的 APP 發布。有了上述的防護機制，就能大幅降低遭破解的風險。

不論是 APP 的開發商或是手機製造商，在產品出廠前都需要多一層防護確認，如市場上專精於資安防護的 appGuard，保護 APP 只需要 30 分鐘，不需要原始碼，同時還提供實驗室安全認證證書。目前 appGuard 合作廠商包含了國內外許多大型業者，例如中華郵政、元大銀行、元大投信、歐付寶、安聯人壽… 大型金融業者等等，架上應用程式都已經使用 appGuard 資訊安全防護。

日前歐付寶董事長林一泓更在臉書公開表示，「在正常使用歐付寶『電子支付』（包含行動支付），若帳密仍被盜歐付寶買單賠償，全權負責。」可見歐付寶不但具有創新思考及快速反應市場的能力，也重視消費者權益，對其資訊安全強度相當有信心。

『新聞來源／NOWnews http://www.nownews.com/』