iT邦幫忙

0

金融/銀行/理財類應用程式發包給其他廠商製作的資安風險

  • 分享至 

  • xImage

各位好,我是孟武
本身是一位 Android 手機極客使用者

這陣子在使用一款由大陸網友開源的應用程式 - Lib Checker,它的功能主要是檢視和分析手機內安裝的應用程式使用的第三方資源庫

大概是今年的 01/18,我偶然的發現 悠遊付 更新了應用程式的版本,其內容物是更新了應用程式使用來自大陸的第三方程式庫 - 梆梆安全(libdexjni.so)進行裝置的安全性環境偵測,同時我也以 libdexjni.so 進行搜尋發現 郵局全系列(含 e動郵局郵保鏢)也在名單內,應該已經用一段時間了
悠遊付更新了應用程式偵測和加固的第三方資源庫
以 libdexjni.so 搜尋
e動郵局
郵保鏢
悠遊付

我手機上面同時裝有:
郵局(含 e動郵局 和 郵保鏢)
中信銀行(HomeBank)
台新銀行(含 Richart 和 台新行動網銀)
中小企銀(台企行動銀行)
國泰銀行(含 KOKO 和 國泰世華)
連線商銀(LINE BANK)
兆豐銀行
樂天銀行(樂天國際銀行)
玉山銀行
富邦銀行(富邦行動銀行)

我同一時間也找了我手機上面其他銀行使用的第三方資源庫,倒是沒有發現所以然

找了一下金融銀行業的相關法規「金融機構提供行動裝置應用程式作業規範」的第六條有寫到開啟應用程式必須偵測裝置的安全性,但 並沒有限制偵測裝置的方式使用誰提供的

想請問各位對於這種狀況的資安風險分析或是應變措施

froce iT邦大師 1 級 ‧ 2022-03-21 09:48:01 檢舉
你用大陸的開源檢測軟體去檢查出大陸的安全防護lib,然後僅憑這些安全防護lib的來源廠商是大陸,就質疑這些安全防護lib是否安全!!!???

你自己都不能符合你自己「心中」的安全定義了。你要怎麼質疑別人?

安全與否是要看軟體行為,看事實,是一門科學,不是惟心論和屬地主義好嗎?
不想碰政治~
不明
【**此則訊息已被站方移除**】
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

7
Ray
iT邦大神 1 級 ‧ 2022-03-20 17:44:29
不明
【**此則訊息已被站方移除**】
1
海綿寶寶
iT邦大神 1 級 ‧ 2022-03-20 17:56:55

1.自己有本事寫就自己寫,沒本事只能用別人寫的
2.技術之外,惟有「信任」二字為基本原則

我要發表回答

立即登入回答