语言资讯保安专家唿吁採用通讯加密技术 提升香港流动应用程式交易安全
香港生产力促进局(生产力局)属下的「香港电脑保安事故协调中心」,及专业资讯保安协会唿吁提供流动应用程式的机构及开发商,採用「交易安全三部曲」,以通讯加密技术(SSL)、验证数码证书及证书鑑定技术,堵塞流动应用程式的通讯加密保安漏洞,防范黑客盗取用户敏感的个人及交易资料。
协调中心及专业资讯保安协会于今年4月至7月进行「香港流动应用程式交易安全」研究,测试130个本地用户常用的香港网上交易服务流动应用程式。研究发现,逾三分一应用程式在处理个人及交易资料时,通讯加密保安不足,黑客容易乘虚而入。
生产力局总经理(资讯科技业发展)黄家伟介绍研究结果表示:「流动应用程式及Wi-Fi技术迅速普及,令更多敏感的个人及交易资料在开放环境下传输。因此,业界必须加强通讯加密安全。」
研究测试发现,34%流动应用程式没有採用通讯加密技术,或没有验证数码证书,容易遭受黑客攻击。研究的流动应用程式根据服务性质分为七类,当中以电子钱包/付费服务及流动银行服务应用程式的通讯加密保安较为良好,87%以上属「安全」及「最安全」;戏院订票及外卖落单服务的交易安全属中等水平;逾半以上金融证劵、网上商店/团购及旅游订位服务应用程式属于「存有漏洞」或没有加密的「严重」级别。
专业资讯保安协会主席范健文表示:「若流动应用程式没有验证数码证书,黑客可设立虚假的Wi-Fi存取点,并利用伪冒数码证书,中途拦截或修改传输中的数据作不法勾当,令用户蒙受严重的资料外洩或经济损失。」
黄家伟建议各界提升应用程式的通讯加密保安。他表示:「市民切勿使用公共Wi-Fi网络传输敏感资料。若对应用程式的安全存疑,可採用能显示网站数码证书真伪的流动浏览器,或利用有加密功能的流动数据网络进行交易。此外,不要在流动设备上安装来歷不明的软件或数码证书。提供流动应用程式的机构及开发商则要为程式及伺服器之间的传输内容加密及在流动应用程式验证数码证书;并採用证书鑑定技术,保障安全。」
为提升香港流动应用程式的交易安全,协调中心及专业资讯保安协会已编制《流动应用程式(SSL实施)最佳行事指引》,流动应用程式的所属机构及开发商可从协调中心网站(www.hkcert.org)下载作参考;生产力局亦提供流动应用程式通讯加密保安审核服务协助业界,提升资讯安全。
如欲查询详情,请致电 (852) 2788 5420或电邮至scleung@hkpc.org与协调中心高级顾问梁兆昌联络。新闻界如有其他垂询,请致电(852) 2788 5036或电邮︰felixchan@hkpc.org与生产力局企业传讯及市务部陈尚匡联络。
* * *
香港生产力促进局
企业传讯及市务总经理
何富豪
电话:(852) 2788 6390
传真:(852) 2788 5056
电邮:jonathanho@hkpc.org
网址:www.hkpc.org
二○一五年九月十四日
关于香港电脑保安事故协调中心
香港生产力促进局属下的香港电脑保安事故协调中心(HKCERT),是本港的资讯保安事故协调中心,为本地企业及互联网用户提供资讯保安事故的消息和防御指引、事故回应及支援服务,及提高保安意识。
HKCERT联络本地的组织,负责收集、发放讯息及协调保安事故应变行动;亦是全球保安事故协调中心组织(Forum of Incident Response and Security Teams, FIRST)及亚太保安事故协调中心组识(Asia Pacific Computer Emergency Response Teams, APCERT)的成员,与其他协调中心在跨境资讯保安事故上,交换情报和保持联繫。HKCERT的网址为:www.hkcert.org。
关于专业资讯保安协会
专业资讯保安协会(PISA)是一个为资讯保安专业人士建立的独立及非营利组织。组织以促进资讯保安意识及推广最佳行事为首要目标。PISA的网址为:www.pisa.org.hk。
生产力局总经理(资讯科技业发展)黄家伟(中)、香港电脑保安事故协调中心高级顾问梁兆昌(左)及专业资讯保安协会主席范健文,介绍「香港流动应用程式交易安全」研究的结果,并提供应用程式交易安全建议
紧贴我们
订阅生产力局电子报
透过电邮取得本局的最新资讯
请即注册