語言資訊保安專家呼籲採用通訊加密技術 提升香港流動應用程式交易安全
香港生產力促進局(生產力局)屬下的「香港電腦保安事故協調中心」,及專業資訊保安協會呼籲提供流動應用程式的機構及開發商,採用「交易安全三部曲」,以通訊加密技術(SSL)、驗證數碼證書及證書鑑定技術,堵塞流動應用程式的通訊加密保安漏洞,防範黑客盜取用戶敏感的個人及交易資料。
協調中心及專業資訊保安協會於今年4月至7月進行「香港流動應用程式交易安全」研究,測試130個本地用戶常用的香港網上交易服務流動應用程式。研究發現,逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,黑客容易乘虛而入。
生產力局總經理(資訊科技業發展)黃家偉介紹研究結果表示:「流動應用程式及Wi-Fi技術迅速普及,令更多敏感的個人及交易資料在開放環境下傳輸。因此,業界必須加強通訊加密安全。」
研究測試發現,34%流動應用程式沒有採用通訊加密技術,或沒有驗證數碼證書,容易遭受黑客攻擊。研究的流動應用程式根據服務性質分為七類,當中以電子錢包/付費服務及流動銀行服務應用程式的通訊加密保安較為良好,87%以上屬「安全」及「最安全」;戲院訂票及外賣落單服務的交易安全屬中等水平;逾半以上金融證劵、網上商店/團購及旅遊訂位服務應用程式屬於「存有漏洞」或沒有加密的「嚴重」級別。
專業資訊保安協會主席范健文表示:「若流動應用程式沒有驗證數碼證書,黑客可設立虛假的Wi-Fi存取點,並利用偽冒數碼證書,中途攔截或修改傳輸中的數據作不法勾當,令用戶蒙受嚴重的資料外洩或經濟損失。」
黃家偉建議各界提升應用程式的通訊加密保安。他表示:「市民切勿使用公共Wi-Fi網絡傳輸敏感資料。若對應用程式的安全存疑,可採用能顯示網站數碼證書真偽的流動瀏覽器,或利用有加密功能的流動數據網絡進行交易。此外,不要在流動設備上安裝來歷不明的軟件或數碼證書。提供流動應用程式的機構及開發商則要為程式及伺服器之間的傳輸內容加密及在流動應用程式驗證數碼證書;並採用證書鑑定技術,保障安全。」
為提升香港流動應用程式的交易安全,協調中心及專業資訊保安協會已編製《流動應用程式(SSL實施)最佳行事指引》,流動應用程式的所屬機構及開發商可從協調中心網站(www.hkcert.org)下載作參考;生產力局亦提供流動應用程式通訊加密保安審核服務協助業界,提升資訊安全。
如欲查詢詳情,請致電 (852) 2788 5420或電郵至scleung@hkpc.org與協調中心高級顧問梁兆昌聯絡。新聞界如有其他垂詢,請致電(852) 2788 5036或電郵︰felixchan@hkpc.org與生產力局企業傳訊及市務部陳尚匡聯絡。
* * *
香港生產力促進局
企業傳訊及市務總經理
何富豪
電話:(852) 2788 6390
傳真:(852) 2788 5056
電郵:jonathanho@hkpc.org
網址:www.hkpc.org
二○一五年九月十四日
關於香港電腦保安事故協調中心
香港生產力促進局屬下的香港電腦保安事故協調中心(HKCERT),是本港的資訊保安事故協調中心,為本地企業及互聯網用戶提供資訊保安事故的消息和防禦指引、事故回應及支援服務,及提高保安意識。
HKCERT聯絡本地的組織,負責收集、發放訊息及協調保安事故應變行動;亦是全球保安事故協調中心組織(Forum of Incident Response and Security Teams, FIRST)及亞太保安事故協調中心組識(Asia Pacific Computer Emergency Response Teams, APCERT)的成員,與其他協調中心在跨境資訊保安事故上,交換情報和保持聯繫。HKCERT的網址為:www.hkcert.org。
關於專業資訊保安協會
專業資訊保安協會(PISA)是一個為資訊保安專業人士建立的獨立及非營利組織。組織以促進資訊保安意識及推廣最佳行事為首要目標。PISA的網址為:www.pisa.org.hk。
生產力局總經理(資訊科技業發展)黃家偉(中)、香港電腦保安事故協調中心高級顧問梁兆昌(左)及專業資訊保安協會主席范健文,介紹「香港流動應用程式交易安全」研究的結果,並提供應用程式交易安全建議
緊貼我們
訂閱生產力局電子報
透過電郵取得本局的最新資訊
請即註冊