在智慧型手機出貨量持續攀高的帶動下,手遊、電子商務成為許多消費者生活中不可或缺的重要一部分,也帶動行動支付市場規模不斷擴大,根據拓墣產業研究院最新研究報告指出,預估2017年全球行動支付市場規模將達7800億美元,年成長率為25.8%。而在台灣金管會鬆綁法規後,台灣金融業者也積極投入發展各種行動支付服務之列,以便能夠在Fintech時代來臨之際,搶得有利的地位。如在Apple Pay於台灣正式提供服務前,早已爭取到多家銀行業者表態合作,寄望搶攻商機無限的行動支付市場。
.jpg)
然而市面上眾多與金融服務App,都存在許多風險程度不一的漏洞,萬一遭到駭客入侵,將對企業與消費者造成極大傷害。根據天下雜誌公布針對台灣20大銀行推出的行動銀行App測試結果發現,有高達17家銀行業者的軟體存在極大資安風險,其中更有11支App未對帳號和密碼加密,駭客只要順利入侵行動機制平台,便可以輕鬆取得所有帳號與密碼。
果核數位總經理丁瑋明指出,其實無論是台灣或者國外業者推出的行動支付App,都存在程度不一的使用風險。平心而論,在一套軟體開發過程中,多少都會因為人為開發疏忽、系統平台上的漏洞,乃至於開發人員的資安思維不足,而導致App存在許多漏洞。因此,能否在最短時間內找出軟體漏洞,並且透過更安全方式讓消費者享有行動支付服務,才是金融產業發展Fintech服務要考慮的重點。
完整保護App安全 appGuard功能受肯定
儘管iOS系統過去曾經爆發有開發商誤用遭植入木馬工具的xCode工具,而出現許多行動裝置遭到惡意程式入侵的風波,但相較於Android平台而言,仍然是較安全的行動作業。而Android裝置之所以成為駭客組織攻擊首要目標,主要是作業系統採取開放式架構,所以系統嚴謹度自然較差。其次,該平台系統選擇Java作為開發App的主要語言,在App開發完成後並不會以機械碼儲存,因此駭客只需透過反編譯工具,便能取得熱門App的原始碼。如此一來,不僅可找出App漏洞或弱點,亦能同時透過修改記憶體方式植入惡意程式,並且重新在Google Play平台上架,即可達成入侵行動裝置的目的。如根據趨勢科技公佈的調查報告指出,名為FAKEBANK 與BANKUN 惡意程式,會利用 Google Play 圖示來誘騙使用者下載並執行其程式,藉此竊取受害者的金融相關資訊以協助歹徒發動網路釣魚攻擊。
丁瑋明表示,Google Play平台新App上架審核較不嚴謹,造成該平台上有許多內建惡意程式App橫行,如曾在Google Play擁有高達4.7評分和上萬次下載的Virus Shield防毒軟體,在上架幾天後便被下架,因為該App所宣稱的眾多功能都是假的。而在中國眾多視頻網站(如 騰訊視頻)中,則有駭客公布多家台灣金融公司App遭破解的視頻,顯見許多業者為搶進行動支付市場,根本沒有足夠時間驗證App安全性,因此唯有尋求有資安專業知識的業者協助,才能將App的風險降至最低。
而果核數位在提供App檢測服務,協助開發人員修正行動支付機制漏洞風險之外,也同步推出可以保護App安全的appGuard。該套軟體最大特色於擁有防止逆向工程、防止App遭篡改、阻擋偵錯、阻擋惡意程式植入、儲存資料加密等四大功能,尤其金融業者不需提供原始碼, appGuard便能直接針對二進位檔案(apk檔)和IPA檔案進行保護作業,並且符合經濟部工業局行動應用App資安檢測基準、不影響App既有功能。
丁瑋明說,果核數位appGuard重新包裝App所需時間極短,大約可以在30分鐘內完成,客戶只需進行簽章測試後,即可在Google Play/iOS平台申請上架,如此一來,行動支付業者毋須擔心發生App可能被駭客破解的問題,可專心在創新服務推廣與開放上,為消費者提供最佳服務品質。