易被黑客盜私隱 近半Android買股App存漏洞

近期股市暢旺，不少市民也愛透過手機應用程式（App）買賣股票，但證監會數字顯示，今年3月前的18個月期間，黑客入侵證券戶口導致的損失涉款達1.1億元。有研究發現，近半Android智能手機的股票交易應用程式通訊安全受威脅，易受黑客惡意攻擊。

香港無綫科技商會會員設立的移動安全研究所，連同香港專業教育學院，於今年4至7月期間抽取香港市面上當期聯交所列表所有140個Andrioid股票交易應用程式作分析，測試其25個安全指數。

輕易複製加密鑰匙

結果發現，86％的應用程式於5個嚴重指數中不及格，當中「惡意代碼注入攻擊」及「動態調試攻擊風險」，全部140個均未能通過測試；另外其中一個較為嚴重的「安全通訊」指數，43.8％未能通過測試，容易受黑客攻擊盜取個人資料。

研究特別針對電子證書（Digital Certificate）及加密鑰匙（Encription Key）兩項手提電話安全工具作分析，結果發現，73個應用程式中，有13個電子證書非獨立，黑客可輕易複製使用者的個人鑰匙，從而盜取個人資料。另外98％的應用程式有被反向追蹤原始碼的風險，可構成廣泛或嚴重洩漏個人私隱問題。

促證監會立例保障

移動安全研究所資訊安全研究員周志輝建議，此類應用程式的開發者於軟件開發生命週期，應該採取有力的安全控制設施，及應用雙因素認證（2FA），以提高入侵密碼的難度。

周同時倡證監會加緊立例，由第三方組織進行應用程式的安全審查。

資訊科技界議員莫乃光指出，市民依賴手機應用程式作投資，但很多機構聲稱的安全做法，原來仍存漏洞，需要提升消費者的知識水平。莫又認為政府應教育市民，選擇具高度安全標準的應用程式。