近半Android股票Apps存漏洞　當心「見財化水」！

用手機購買股票固然方便，但一旦受到黑客攻擊，隨時「見財化水」！證監會數字顯示，今年3月前的18個月期間，黑客入侵證券戶口導致的損失、涉款達1.1億元。有研究發現，近半Android智能手機股票交易應用程式通訊受安全受威脅，易受駭客惡意攻擊。

香港無線科技商會會員設立之移動安全研究所、連同香港專業教育學院，於今年4月至7月期間，抽取香港市面上，當期聯交所列表所有140個Android智能手機應用程式作分析，測試其25個安全指數。

結果發現，超過8成半的應用程式於5個嚴重指數中不及格，當中「惡意代碼注入攻擊」、「動態調試攻擊風險」，全部140個均未能通過測試；另外其中一個較為嚴重的「安全通訊」指數，43.8%未能通過測試，比上兩年同類研究結果低。

研究特別針對電子證書（Digital Certificate）及加密鑰匙（Encription Key）兩項手提電話安全工具作分析，結果發現，73個應用程式中，有13個電子證書均並非獨立，駭客可輕易複製使用者的個人鑰匙，從而盜取個人資料。另外98%應用程式有被反向追蹤原始碼的風險，構成廣泛或嚴重洩漏個人私隱問題。

移動安全研究所資訊安全研究員周志輝建議，此類手機應用程式開發者於軟件開發生命週期，採取有力安全控制設施，以及應用雙因素認證（2FA）以提高入侵密碼難度。周同時建議證監會加緊立例，由第三方組織進行手機應用程式安全審查。

專業資訊保安協會內務副主席黃詩銘指出，事前做過同類型研究，但認為手機應用程式都沒有大改進，希望借此研究提告用戶警覺性。他指小股民通常未知應用程式的安全程度，攻擊手法亦越來越專業，故提醒市民安裝時留意程式所需權限，並建議使用流動網絡而非Wifi進行交易，同時安裝保安軟件及定時更新以保障安全。

 (ISC)2香港分會主席梁國基表示，報告中有列出被測試的程式，希望期公司會聯絡科技商會了解並改善應用程式的保安。梁指2個月內提交詳細報告予證監會等監管機構作參考，但不會公開指數資料。

資訊科技界議員莫乃光指出，市民依賴手機應用程式作投資，但很多機構聲稱的安全做法、原來仍存在漏洞，消費者未必知道、但黑客卻很清楚，所以要提升消費者的知識水平；又認為政府應教育市民，選擇具高度安全標準的應用程式。

【延伸閱讀】黑客盜股票戶口 發500垃圾短訊

【延伸閱讀】80後創模擬股票平台 助大學生配對投行筍工

【延伸閱讀】金管局：留意電子銀行帳戶未經授權股票交易