不少人用智能手機收發電郵、瀏覽社交網站、上網買戲票,甚至買賣股票,但香港無線科技商會(WTIA)設立的移動安全研究所發現,市面上手機股票交易應用程式(app)存在保安風險。
研究於4至7月抽取140個Android智能手機股票交易app,測試25項安全指數,在5個嚴重性最高的安全指數中,逾八成半app「不合格」,其中「惡意代碼注入攻擊」及「動態調試攻擊」兩項指數,無一個app通過測試。另外,研究亦針對兩項手提電話安全工具——電子證書及加密鑰匙測試,發現73個app中,有13個的電子證書屬共用。移動安全研究所資訊安全研究員周志輝(左三)指,一個電子證書被多於一個app同時使用,黑客獲得該電子證書,就可以輕易更改其他app並取得使用者的個人資料。
至於「加密鑰匙」是保護個人資料的第一道防護網,研究發現98%的app「代碼反編譯風險」保安指標測試中「不合格」,即該等app或可被黑客反向追蹤原始碼並篡改;其中發現有app使用同一條加密鑰匙加密所有用家的資料,即黑客只需要下載了該app並追蹤其原始碼,便可一次過獲得所有用家的資料,有造成廣泛及嚴重洩漏個人私隱的風險。
專業資訊保安協會內務副主席黃詩銘(左二)提醒市民,安裝app時了解有關授權要求,愈多授權愈高風險;用app買賣股票時,應用流動數據減低風險;並建議手提電話安裝保安軟件,但最重要仍然是開發者在程式編碼時堵塞止保安漏洞。
