各位好,我是孟武
本身是一位 Android 手機極客使用者
這陣子在使用一款由大陸網友開源的應用程式 - Lib Checker,它的功能主要是檢視和分析手機內安裝的應用程式使用的第三方資源庫
大概是今年的 01/18,我偶然的發現 悠遊付 更新了應用程式的版本,其內容物是更新了應用程式使用來自大陸的第三方程式庫 - 梆梆安全(libdexjni.so)進行裝置的安全性環境偵測,同時我也以 libdexjni.so 進行搜尋發現 郵局全系列(含 e動郵局 和 郵保鏢)也在名單內,應該已經用一段時間了
我手機上面同時裝有:
郵局(含 e動郵局 和 郵保鏢)
中信銀行(HomeBank)
台新銀行(含 Richart 和 台新行動網銀)
中小企銀(台企行動銀行)
國泰銀行(含 KOKO 和 國泰世華)
連線商銀(LINE BANK)
兆豐銀行
樂天銀行(樂天國際銀行)
玉山銀行
富邦銀行(富邦行動銀行)
我同一時間也找了我手機上面其他銀行使用的第三方資源庫,倒是沒有發現所以然
找了一下金融銀行業的相關法規「金融機構提供行動裝置應用程式作業規範」的第六條有寫到開啟應用程式必須偵測裝置的安全性,但 並沒有限制偵測裝置的方式使用誰提供的
想請問各位對於這種狀況的資安風險分析或是應變措施
先去查一下 App 本身有沒有通過 MAS 標章?
https://www.mas.org.tw/main.php
檢測合格證明書
App檢測通過名錄:悠遊卡股份有限公司-Easy Wallet悠遊付-3.0.22 Android
(證書效期到 2022/04/08, 所以大概也快要複驗了)
如果有的話, 以下這些應該都已經查核過了:
查核是以 App 實際的行為來驗證, 跟程式庫的作者國別無關...
行動應用App基本資安-自主檢測制度介紹
行動應用App安全開發說明會-Android基礎概念與實務入門
資訊安全-金融機構提供行動裝置應用程式作業規範-part-1
資訊安全-金融機構提供行動裝置應用程式作業規範-part-2