找回密碼 或 安全提問
 註冊
|註冊|登錄

伊莉討論區

搜索
發表文章前請先閱讀相關版規儲值後自動升級用戶組安全提問(回答) 和 永久尊貴會員 事宜
無修無碼流出偷拍柯南七大罪中出rpg
atri出馬仙ssis 606under coresonancロリつき從海賊開

休閒聊天興趣交流學術文化旅遊交流飲食交流家庭事務PC GAMETV GAME
熱門線上其他線上感情感性寵物交流家族門派動漫交流貼圖分享BL/GL
音樂世界影視娛樂女性頻道潮流資訊BT下載區GB下載區下載分享短片
電腦資訊數碼產品手機交流交易廣場網站事務長篇小說體育運動時事經濟
上班一族博彩娛樂

[繁]歡迎來到實力至上

中國盛產這種小畜生

[繁]最強肉盾的迷宮攻

【超清繁中】✡ 霹靂

[繁]最強肉盾的迷宮攻

河南商丘 男子不滿店
時事討論明星新聞討論有趣新聞企業家管理交流金融財經、投資交流房地產討論股票討論基金保險
外幣投資租屋資訊環境保護問題探討食物衛生及用品安全軍事討論
查看: 2074|回復: 23

[社會] [20大銀行app 有 17家不安全][天下雜誌][2016-07-26][複製鏈接]

  博 士 (Goal)

哆轅一

Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6

帖子
65931
積分
184840 點
潛水值
1190176 米
發表於 2016-7-26 11:12 PM|顯示全部樓層
                                                       


一銀事件凸顯金融資安的重要。資安認證業者鑒真數位發現,台灣前20大國銀app,竟有11支被查出嚴重資安缺陷。金融資安危機,已經出現在你我身邊。

根據《天下雜誌》獨家取得鑒真數位app資安檢定調查,過半在Google Play上架的國銀app,有明顯的資安漏洞,在公用無線上網WiFi環境下,駭客就有機會能竊取用戶的帳號密碼。

鑒真數位是老字號的資安鑑識業者,也是國內少數通過財團法人全國認證基金會(TAF)公告,能做「行動應用app基本資安檢測實驗室」的公司,其客戶包括法務部、調查局。

鑒真數位抽測國內資本額前20大銀行,在Google Play上架的行動網銀app,共20支,其中包括6家公股行庫,14家民間銀行。檢測項目包括4項:憑證綁定、虛擬環境偵測及反制、程式碼混淆、除錯訊息是否含敏感資訊。(測試版本皆為今年5月20日前最新版)

20大銀行app 有 17家不安全

結果發現,除玉山銀、第一銀、元大銀3家app,資安嚴重等級屬「輕微」──也就是四項檢測中僅一項不符,其他17家都存在較高的資安風險。特別是,高達14支、7成的app憑證未綁定;這14支app中,有11支未對帳號和密碼做加密,駭客可輕鬆取得所有帳號與密碼。

鑒真執行長黃敬博解釋,「憑證綁定」是指,每次用戶開啟app跟銀行連線,app要確認連上的是真的銀行伺服器,就要靠憑證綁定。但鑒真檢測卻發現,大部份銀行app未做好把關,讓駭客可偽造假憑證。最有可能的做法是,駭客切入用戶與銀行連線之間,有如中間人般,取得用戶與銀行間的網路傳輸內容。

其中又以11支app沒有做帳號與密碼加密,資安威脅最大。加密等於是多一層保護,如果不幸被駭,起碼駭客不會那麼容易拿到用戶的帳號、密碼,甚至身分證字號。

在公用地區上網 風險大增

黃敬博說明,一旦有資安有瑕疵,用戶如果在公用無線上網地區使用銀行app,雖然仍有一定難度,但被有心駭客侵入的風險就大增。但若是用家用WiFi、3G或4G連線,就會比較安全。

但「看到結果,說實話,自己也嚇壞了,」黃敬博憂心地說。以「程式碼混淆」有14家未通過檢測為例,「這是寫程式的基本資安邏輯,這叫basic common sense。」

他說,程式碼沒混淆、除錯訊息沒關掉,都反映開發者在程式上架前有重大疏失。

為什麼不安全率這麼高?黃敬博說,其實從網頁時代就有中間人攻擊,差別在瀏覽器僅幾家大廠,如微軟、Chrome、Firefox,對待網路憑證確認較謹慎。如今app開發者眾多,對資安防範的認知、專業參差不齊。且國內銀行app多委外開發,集中少數廠商。

黃敬博也說,此次檢測的四項資安問題,「對開發者來講,不是偉大的技術門檻,也不會影響app的運作流暢度,」他認為,問題出在大家不夠重視,心態停留在「先求有再求好」。

銀行自律有用嗎?

《二○一六資誠全球經濟犯罪調查報告》已指出,逾五成受訪者認為,過去兩年,網路安全威脅的風險愈來愈多,且金融業威脅最大。

這麼高比例的不安全率,金管會如何解決?

金管會副主委桂先農接受《天下》記者訪問時說,目前由銀行公會訂定的自律規範,包括「金融機構提供行動裝置應用程式注意事項」、「金融機構辦理電子銀行業務安全控管作業基準」,均請公會轉知各大金控,由各金控切實落實內控。

此次四項檢測項目中,「憑證綁定」、「虛擬環境偵測及反制」均名列自律規範項目,但第一項不及格率高達7成,第二項不及格率高達95%,自律足夠嗎?金管機關恐怕必須說服消費者。

金管會官員透露,金管會已請銀行公會研議,未來金融業的app在上架前,必須先通過安全檢測。

...
瀏覽完整內容,請先 註冊登入會員
如果你忘記伊莉的密碼,請在登入時按右邊出現的 '找回密碼'。輸入相關資料後送出,系統就會把密碼寄到你的E-Mail。

使用道具檢舉

Rank: 4Rank: 4Rank: 4Rank: 4

帖子
8898
積分
5115 點
潛水值
114470 米
發表於 2016-7-27 01:24 AM|顯示全部樓層
若對尊貴或贊助會員有任何疑問,歡迎向我們查詢。我們的即時通或MSN: admin@eyny.com
這本來就是取捨的問題,你不可能既方便又安全的,大部分銀行追求流行以後會面對向卡債一樣的問題
別對個人小百姓的發言太認真,打字只是為了賺積分下載影片
成為伊莉的版主,你將獲得更高級和無限的權限。把你感興趣的版面一步步地發展和豐盛,那種滿足感等著你來嚐嚐喔。

使用道具檢舉

Rank: 2Rank: 2

帖子
1347
積分
578 點
潛水值
23680 米
發表於 2016-7-27 11:45 AM|顯示全部樓層
如果你忘記伊莉的密碼,請在登入時按右邊出現的 '找回密碼'。輸入相關資料後送出,系統就會把密碼寄到你的E-Mail。
有鑑於一銀盜領, 以後使用網路銀行和APP 得更加謹慎了!!
回覆中加入附件並不會使你增加積分,請使用主題方式發佈附件。

使用道具檢舉

Rank: 5Rank: 5Rank: 5Rank: 5Rank: 5

帖子
20561
積分
16607 點
潛水值
222000 米
發表於 2016-7-27 01:13 PM|顯示全部樓層
若瀏覽伊莉的時侯發生問題或不正常情況,請使用Internet Explorer(I.E)。
俺真的不建議去使用銀行的APP,雖然方便,但是風險也大!!!
所有積分大於負-100的壞孩子,將可獲得重新機會成為懲罰生,權限跟幼兒生一樣。

使用道具檢舉

Rank: 3Rank: 3Rank: 3

帖子
2791
積分
1027 點
潛水值
59317 米
發表於 2016-7-27 01:39 PM|顯示全部樓層
人民的錢,被盜領沒關係啦。

到時還可以把行內歸空的錢混進去。

萬一不小心被用戶人多領一大元,

用戶人可要第一時間歸還,不然小心銀行告你侵佔






回覆中加入附件並不會使你增加積分,請使用主題方式發佈附件。

使用道具檢舉

yujs239 該用戶已被刪除
發表於 2016-7-27 02:11 PM|顯示全部樓層
我從不用銀行APP,尤其現在銀行推的"無卡支付",真不知如何驗證使用者身分?
好像反正是你的錢,被盜領時,你要舉證銀行有錯,難啊!
回覆中加入附件並不會使你增加積分,請使用主題方式發佈附件。

使用道具檢舉

Rank: 3Rank: 3Rank: 3

帖子
705
積分
1001 點
潛水值
7376 米
發表於 2016-7-27 02:52 PM|顯示全部樓層
手機普急得如此之快,又難以讓使用者用一般使用模式去做更一進步的安全控管。
不出事就話當然沒事,但在想要讓它出事的人看來,難度真的不高。
所有積分大於負-100的壞孩子,將可獲得重新機會成為懲罰生,權限跟幼兒生一樣。

使用道具檢舉

  博 士 (Goal)

腦殘者無藥醫也

Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6

帖子
8847
積分
28426 點
潛水值
121517 米
發表於 2016-7-27 04:26 PM|顯示全部樓層
樓主若有興趣,可以去稍稍追蹤一下為何會有這個問題
銀行業者對很多產品,從無到有,都是求快求簡單
軟體是跑得快,操作也簡單沒錯
但幾乎也把安全性給簡單掉了
真要解決安全性問題,必須全面性的提升對資安的觀念
不止是政府與企業,還有使用者
為你的人生負責任,做你自己的主人,然後追求極致
http://www03.eyny.com/space-uid-438810.html
如果你忘記伊莉的密碼,請在登入時按右邊出現的 '找回密碼'。輸入相關資料後送出,系統就會把密碼寄到你的E-Mail。

使用道具檢舉

Rank: 3Rank: 3Rank: 3

帖子
184
積分
1060 點
潛水值
9308 米
發表於 2016-7-27 04:55 PM|顯示全部樓層
還好我一直沒用銀行的APP
在臺灣就是,只要沒出事就沒人關心
等出事再來罵、再來檢討

使用道具檢舉

Rank: 4Rank: 4Rank: 4Rank: 4

帖子
73386
積分
8948 點
潛水值
731193 米
發表於 2016-7-27 09:13 PM|顯示全部樓層
回覆中加入附件並不會使你增加積分,請使用主題方式發佈附件。

使用道具檢舉

kellyleon 該用戶已被刪除
發表於 2016-7-28 06:10 PM|顯示全部樓層
銀行推的無卡支付和電子帳單都是垃圾
反正出問題時你也沒證據舉發銀行
銀行的話能信嗎

使用道具檢舉

Rank: 1

帖子
5139
積分
188 點
潛水值
16055 米
發表於 2016-7-28 06:30 PM|顯示全部樓層
覺得消費白紙黑字的發票 才是最實在的  只要有發票 去退貨只要商品包裝沒損壞哪怕拆裝過

幾乎都可以  店員也不會跟你囉嗦   但在網路消費....只要負費後  一出問題

關溝通就常常以星期計算  而且很難退費...

如果你忘記伊莉的密碼,請在登入時按右邊出現的 '找回密碼'。輸入相關資料後送出,系統就會把密碼寄到你的E-Mail。

使用道具檢舉

Rank: 3Rank: 3Rank: 3

帖子
970
積分
1165 點
潛水值
56302 米
發表於 2016-7-29 10:28 PM|顯示全部樓層
17家都存在較高的資安風險。該公佈是哪17家讓大眾小心.

使用道具檢舉

Rank: 3Rank: 3Rank: 3

帖子
1186
積分
1026 點
潛水值
25885 米
發表於 2016-7-29 11:12 PM|顯示全部樓層
分享使你變得更實在,可以使其他人感到快樂,分享是我們的動力。今天就來分享你的資訊、圖片或檔案吧。
怎麼會不安全...消費者手機不要下載有的沒的就好了阿...
反正方便本來就容易變成隨便麻...

APP到底哪時候安全過了...不然Apple堅持把關app的用意在哪...?
若有安裝色情守門員,可用無界、自由門等軟件瀏覽伊莉。或使用以下網址瀏覽伊莉: http://www.eyny.com:81/index.php

使用道具檢舉

被螞蟻撞倒 該用戶已被刪除
發表於 2016-7-30 04:51 PM|顯示全部樓層
回覆中加入附件並不會使你增加積分,請使用主題方式發佈附件。
是在幫忙做廣告嗎?
還是在催眠大家只有玉山第一元大安全?
是拿了多少錢呢




使用道具檢舉

您需要登錄後才可以回帖 登錄 | 註冊

Powered by Discuz!

© Comsenz Inc.

重要聲明:本討論區是以即時上載留言的方式運作,對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本討論區受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者發現有留言出現問題,請聯絡我們。有權刪除任何留言及拒絕任何人士上載留言,同時亦有不刪除留言的權利。切勿上傳和撰寫 侵犯版權(未經授權)、粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。
回頂部