網上交易手機App 逾3成存漏洞

用戶一機在手，隨時隨地可進行電子交易，惟並非每個手機應用程式（App）都安全。有保安專家指，亞洲萬里通、訂購澳門船票及香港電視的手機App存有漏洞，黑客可竊取用戶登入名稱、密碼，甚至偷積分，籲開發者正視問題。

電腦保安事故協調中心測試逾百個本地常用的網上交易App，發現三分之一存漏洞，黑客可窺探交易過程，取得用戶信用卡號碼、交易安全碼及個人密碼等，其中以金融證券、網上商店或團購及旅遊訂位服務應用程式漏洞最多。

香港電腦保安事故協調中心及專業資訊保安協會，於今年4至7月測試130個、本地用戶常用的網上交易手機App，涵蓋Android及iOS兩大平台，發現當中34%存有漏洞，黑客可截取及篡改交易資料，用戶因此蒙受經濟損失。測試發現，網上商店或團購、旅遊訂位服務及外賣落單App的安全風險最高，在交易過程中未使用「通行證」數碼證書、沒有加密交易內容，意味用戶個人資料、交易金額，甚至信用卡號碼可被竊取。

專家指亞洲萬里通 易失資料

專業資訊保安協會主席范健文表示，黑客可取得用戶手機號碼、姓名、信用卡號碼，甚至是卡背3位數字安全碼等敏感資料。最危險的是用戶在使用手機App時沒有「安全鎖」圖示，亦不會彈出警告（見另文——勿做「Yes Man」 正視瀏覽器警告），故用戶沒有辦法察覺第三方之存在，認為程式開發者及手機應用程式供應商，應做好把關工作。

研究亦發現，逾6成的金融證券手機App存有漏洞，雖有加密技術，但沒有安全認證，容易被黑客以偽冒的數碼證書蒙混過關。調查機構拒絕透露高風險的手機App名字。

資訊保安公司FireEye銷售工程師王潤霖發現逾8成Android App所使用的加密措施具安全風險，認為程式開發者只注重手機功能，在測試時忽略使用者安全。他點名批評「亞洲萬里通」的Android版手機應用程式，以及部分訂購澳門船票的手機App有問題，任何偽冒的數碼證書都可輕鬆過關，用戶資料如會員號碼、密碼，「所有程式要求你填的東西，黑客都可拎到」。他指資料被竊取，輕則「唔見積分」，重則包括信用卡安全密碼。他稱已向亞洲萬里通滙報相關問題，但最新的1.2.1版本，仍存在上述問題。

亞洲萬里通：有使用加密系統

亞洲萬里通回覆本報查詢時表示，其網頁系統及手機App有使用加密系統，歡迎會員及資訊保安業界就網上服務提供意見，並不時檢討及提升手機App的功能及保安系統。至於可提供手機App訂票服務的兩間船公司，噴射飛航及金光飛航至截稿前未有回覆。

不單止亞洲萬里通，有保安專家發現港視網購App（HKTVmall）的風險屬中等，包括交易時會略過數碼證書。即使在交易期間，黑客假扮港視伺服器介入與客戶溝通，程式亦不會分辨假伺服器，照樣進行交易，客戶資料或被黑客一覽無遺；此外，其加密力度亦不夠強。

港視解釋，HKTVmall使用SSL數碼證書加密，保護該App與伺服器之間的通訊，保護資訊不易被外界截取。至於付費系統方面，HKTVmall並沒有儲存用戶信用卡資料，而付費系統亦符合PCI DSS要求。但港視建議用戶從可靠途徑如iTunes及Google Play等下載程式，及避免使用非加密Wi-Fi進行交易。

▲ 專家提醒市民使用App購物時，宜選用瀏覽器。（資料圖片）

▲ 專業資訊保安協會主席范健文（右）表示，黑客可透過App的漏洞，取得用戶信用卡號碼。（陳偉英攝）