跳至主內容

「香港流動應用程式交易安全」研究報告

發佈日期: 2015年09月24日 2068 觀看次數

在今年9月中,香港電腦保安事故協調中心 (HKCERT) 及專業資訊保安協會 (PISA) 發佈了「香港流動應用程式交易安全」研究。在這項研究,一共測試了130個本地用戶常用的香港網上交易服務流動應用程式。當中發現逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,容易受到中間人 (man-in-the-middle) (MITM) 攻擊,令通訊資料外洩。

研究目的主要是確認在香港常用應用程式上 SSL (Secure Sockets Layer) 通訊加密的保安問題,及希望藉此提高公眾、應用程式開發者及擁有者對流動應用程式上通訊加密的意識。

這次的測試目標是香港網上交易服務流動應用程式,它們會處理個人資料、帳號及密碼,或付款資料等。測試的應用程式於 4月至 7月從 iOS App Store 及 Android Google Play Store 官方商店下載。經過初部測試,最後收集了 130 款透過 HTTP 或 HTTPS 傳輸數據的應用程式,64款為 Android 應用程式,66款為 iOS 應用程式,並分類成以下 7 個類別:
●    流動銀行服務        (32款)
●    戲院訂票        (26款)
●    金融證劵        (24款)
●    網上商店/團購        (16款)
●    旅遊訂位服務        (13款)
●    外賣落單        (11款)
●    電子錢包/付費服務    (8款)

測試項目為以下 4項:
●    應用程式是否使用 SSL 通訊加密
●    若使用 SSL 通訊加密,應用程式對無效的 SSL 連線是否處理正確
●    應用程式有沒有使用進階的防止中間人保護技術,如證書鑑定 (Certificate Pinning)
●    在應用層,應用程式有沒有對敏感資料進行編碼或加密處理

測試方法則是透過使用代理 (Proxy) 模擬中間人截取應用程式與伺服器之間的通訊數據,如下圖

 

 在測試過程,每款應用程式會按以下面的等級制度來進行評級。

 

 以下是 130款應用程式測試後的統計資料:

 

研究發現 34%流動應用程式沒有採用通訊加密技術,或沒有驗證數碼證書,容易遭受中間人攻擊。當中以電子錢包/付費服務及流動銀行服務應用程式的通訊加密保安較為良好;戲院訂票及外賣落單服務的交易安全屬中等水平;逾半以上金融證劵、網上商店/團購及旅遊訂位服務應用程式屬於「存有漏洞」或沒有加密的「嚴重」級別。

 

詳細的研究報告,可參考《「香港流動應用程式交易安全」研究報告》

 


 

[下載]


為提升香港流動應用程式的交易安全,香港電腦保安事故協調中心(HKCERT)及專業資訊保安協會(PISA)已編製《流動應用程式 (SSL實施) 最佳行事指引》。這份文件講述一些常見處理方法,為流動應用程式開發人員提供合適的方向,以處理流動應用程式和服務器之間的SSL安全連接及防止中間人的攻擊。
 

《流動應用程式 (SSL實施) 最佳行事指引》

 


 

[下載]