Android股票交易程式存安全漏洞

用手機程式買股票快捷又方便，但有研究發現市面不少手機程式安全度存疑。有商會早前測試市面上一百四十個Android手機股票交易Apps（應用程式），在二十五個測試項目中，發現不少手機程式都存在安全漏洞，如九成八測試手機程式有被反向追蹤原始碼的風險，構成個人私隱洩漏問題；近一成程式不設獨立電子證書，黑客可複製使用者的個人鑰匙，從而盜取用戶個人資料；而模擬黑客為了套取用戶密碼、資料展開的惡意攻擊，全部程式均無法招架。資訊科技界人士呼籲，市民使用手機程式交易時應避免連上WiFi，手機程式亦要定期更新、並安裝防毒軟件自保。


測試包括東亞及大新銀行
香港無線科技商會設立的移動安全研究所聯同香港專業教育學院，在四至七月於Google Play Store下載當時架上全數獲香港交易所認可的一百四十個Android手機股票應用程式作分析，當中不乏本地銀行及證券公司的程式，包括東亞銀行、大新銀行等。

在二十五個測試項目如「安全通訊」、「惡意代碼注入攻擊」及「動態調試攻擊」中，研究人員會以攻擊方式偵測漏洞，並針對手機安全工具「電子證書」及「加密鑰匙」作出研究，結果發現九成八的手機程式有被反向追蹤原始碼的風險；在「惡意代碼注入攻擊」及「動態調試攻擊」兩項測試中，更是全部手機程式均不合格，黑客可藉此肆意加插額外功能，掌握用戶的資料，致用戶密碼及資料隨時外洩。

專家：定期更新 安裝防毒
研究發現近四成半手機程式的「安全通訊」亦受到威脅，反映相關程式在缺乏強大安全系統下，容易受黑客惡意攻擊，或令用戶個人資料被盜取。

資訊科技界立法會議員莫乃光指，市民依賴手機股票交易程式管理資產容易成為犯罪目標，政府應教育大眾選擇具高度安全標準的程式。專業資訊保安協會內務副主席黃詩銘則建議，市民用手機程式時應避免連上WiFi、定期更新手機，以及安裝防毒軟件。國際資訊系統安全認證協會香港分會主席梁國基亦指，市民可在應用程式設定額外通知方式，提醒自己有否進行買賣。

東亞銀行發言人表示，未曾接獲與手機程式相關的網絡安全事故，強調該行非常重視Apps的網絡安全，會按監管機構的要求嚴格執行相關風險評估及風險管理，及提升保安系統，以防範任何系統異常情況。大新銀行亦指，一向着重流動證券交易活動的安全性，並採取嚴密的安全措施，加密客戶和銀行之間所有透過互聯網傳送的重要資料，並採用多層防火牆，以更有效地防止未獲授權進入銀行系統。

不法分子利用科技及網絡犯罪的情況日增。國際刑警網絡罪行總署數碼罪行長（策略及外展） Roeland van Zeijst昨在本港出席一個論壇，談及數碼罪行新趨勢時透露，現時罪犯有將違法行為商業化的趨勢，如有不法分子製作勒索軟件在網上兜售，令其他人可購買軟件犯法，令相關案件發生得更快、更便捷。至於本港網絡罪行，他則指八成半屬於商業電郵詐騙。

有客服為「顧客」解難
Roeland指出，數碼罪行出現「商業模式」發展，國際刑警發現有寫好的勒索軟件程式放在黑市出售，令更多不法分子圖利，銷售一方除提供客戶服務部門外，還為「顧客」解決疑難，更有評分功能讓他們留言。以往的黑市多為實體店，現在則可透過網上商店解決，令國際刑警緝拿疑犯難度增加。

國際刑警：勿交贖款
談到網絡欺詐，他表示最常見是不法分子扮作公司的行政總裁或是財務總監，訛稱帳戶出現問題，要求職員將巨款轉至騙徒戶口，公司職員不疑有詐，最終騙徒成功騙取大筆金額，而香港八成五的網絡罪行均為商業電郵詐騙。Roeland認為，本港中小企資源較少，較易成為罪犯目標。早前勒索軟件Wannacry肆虐全球，Roeland不贊成中小企交贖金解困，因會助長犯罪集團，最終亦難以取回資料。

為了進一步打擊網絡罪行，國際刑警已在新加坡成立創新總部，內設「網絡融合中心」及「全天候指揮動作中心」，讓國際刑警能隨時分析網絡罪行，及聯絡一百九十個成員國的執法部門。Roeland指，各國資訊科技水平不一，將整合各國資料成大數據系統。他強調，國際刑警不會主動進入他國的資料庫，只會在該國及地區願意的前提下，交出的數據才收納在資料庫內，資料來源國及地區亦可決定哪些國家可觀看資料，具一定私隱度。