隨時輸大錢！手機應用股票交易安全成疑

現今都市人投資股票，已經再不是從前的打電話或現場人手落盤，使用智能手機應用程式進行股票交易已十分普遍。不過，又有多少人在使用時，有考慮過其安全性呢？

香港無線科技商會 (WTIA) 設立的移動安全研究所 Mobile Security Research Lab，夥拍香港專業教育學院 (柴灣)，於 2015 年及 2016 年測試的基礎上，在本年 4 月至 7 月對香港市面上 140 個 Android 智能手機股票交易應用程式 (STMA) 進行詳盡跟進分析，測試 25 個安全指數，並於近日發表了研究安全報告。是次研究旨於提升公眾對手機股票交易應用程式安全的關注，及對現時安全問題作出針對性建議。

研究結果顯示香港的智能手機股票交易應用程式在缺乏強大的安全系統下，極易受駭客惡意攻擊，因此這些應用程式用戶的個人資料可能被盜取。報告中測試了 25 個安全指數，有超過八成半 (86%) 的應用程式在首五個嚴重性最高的指數中皆不合格。其中一個指數 –「安全通訊」雖然相對 2015 及 2016 年的報告有改善，但 140 個受測試的應用程式中仍有近半 (43.8%) 未能通過測試。報告中雖有四個指數達到百分百的合格率，不過主因卻是大部分應用程式沒有使用相關功能。

研究亦針對兩項手提電話安全工具 — 電子證書 (Digital Certificate) 及加密鑰匙 (Encryption Key) 作出分析。發現 73 個應用程式中有 13 個電子證書都不是獨立的，換句話說駭客可輕易複製使用者的個人鑰匙，從而盜取個人資料。2015 年的報告顯示超過三分一的手機應用程式在處理憑證及資料傳輸缺乏加密安全系統，而「加密」方式是保護個人資料的第一道防護網。而是次研究有高達 98% 的手機應用程式有被反向追蹤原始碼 (Reverse Engineering) 的風險, 可構成廣泛及嚴重的洩漏個人私隱風險。由此可見，眾多手機應用程式開發商忽略電子證書及加密鑰匙兩道基本安全系統防護網。

研究結果顯示手機股票交易應用程式的安全性面對巨大挑戰，是一個根深柢固的問題，應即時作出應對，否則後悔莫及。香港無線科技商會建議此類手機應用程式開發者於軟件開發生命週期 (SDLC) 採取有力安全控制措施。雙因素認證 (2FA) 已廣泛地用於網上銀行理財服務，遺憾地卻未有用於研究中大部分的手機股票交易應用程式。 香港無線科技商會建議證券及期貨事務監察委員會 (SFC) 加緊立例，由第三方組織或團體進行手機應用程式安全設定審查，例如根據 OWASP Mobile Top 10 2016 的安全標準，以確保其安全性。