資訊中心管理
金融科技的行動應用程式 Mobile Apps 安全最佳實踐
下一篇 - 安全程式碼ChatGPT 協助程式碼開發 ? 小心變得更不安全

金融科技的行動應用程式 Mobile Apps 安全最佳實踐

撰文 | 整理及翻譯│叡揚資訊 資安直屬事業處
金融科技(Fintech)是經濟體系中利用科技提供金融服務業創新解決方案和服務的一個領域,包括支付、銀行、投資和保險等領域。如今,金融科技應用程式(Mobile Apps)正在改變金融服務業,為其帶來更高效、便利和安全的服務。金融科技應用多種方式提供客戶服務,使客戶能夠快速獲取針對其個人情況和目標,量身打造的個性化建議。這有助於客戶更好地對自己的財務做出明智的決策。

由於金融科技應用程式(Mobile apps)儲存了大量敏感數據和金融資訊,網路犯罪組織越來越多地將目標瞄準了這些應用程式。他們使用各種攻擊手段來獲取這些數據,例如釣魚詐騙、惡意軟體甚至社交工程。網路犯罪組織的最終目標通常是為了從帳戶中盜取資金或在黑市上出售被盜數據以獲得經濟利益。他們追求的類型資訊包括個人身份識別資訊(PII),如姓名和地址,以及信用卡號碼和密碼。犯罪組織通過獲取這些數據,可以用於身份盜竊或其他詐騙活動。

金融科技應用的安全標準

在開發金融科技應用時,確保適當的安全標準非常重要,以保護客戶的資料和金融資訊。金融科技應用程式(Mobile apps)需要大量的個人身份識別資訊(PII)來完成其預期功能操作。透過採取適當的安全措施,開發人員可以確保他們的應用對所有用戶都是安全可靠的。一些應該考慮的基本安全標準包括個人資料保護、資料加密、角色的訪問控制、安全的應用邏輯,以及對合規和監管要求的理解。

1703059596099

了解客戶如何與應用程式進行操作,並準備適當的保護措施來處理個人資料,可以幫助組織和開發團隊在安全協議和訪問權限方面做出更明智的決策。

請詢問自己三個簡單的問題

  1. 是否客戶資料在靜態和傳輸時(無論是在手機內部還是其他地方)都已進行加密儲存?
  2. 是否客戶所使用的手機設備的是可被信任的(沒有 JB/Root 或惡意軟體)?
  3. 是否有適當的安全措施來保護所處理的資料, 例 如 SSL 憑 證 綁 定(SSL pinning)?

透過以下步驟建立安全的金融科技應用程式(Mobile apps)

遵循這些步驟,開發人員可以確保他們的應用程式對所有用戶都是安全可靠的,同時保護客戶資料免受惡意行為和安全協議違規的侵害。

步驟 1

建立安全程式碼撰寫標準。安全的程式碼是任何金融科技應用程式(Mobile apps)的可靠基石。為了確保這一點,開發人員必須建立和遵循安全的程式碼撰寫標準和最佳實踐,例如避免輸入驗證錯誤、使用資訊加密保護敏感資訊、強制實施最小特權原則以及避免寫死固定憑證(hard-coding credentials)。

步驟 2

執行行動應用程式的安全測試,使用動態和靜態地掃描資料庫的漏洞。行動應用程式容易受到惡意攻擊,因此必須測試潛在的漏洞,例如 SQL 注入和資料洩漏,但同樣重要的是要掃描真正的漏洞,即可被利用的弱點。安全測試應該包括手動和自動測試。應該定期進行測試,以識別惡意行為可能利用的程式碼缺陷。

步驟 3

實施使用者驗證措施。使用者驗證是一項重要的安全措施,要求用戶在存取帳戶或執行交易之前提供多種驗證方式。這有助於保護用戶免受潛在的詐騙活動,並保護他們的金融資訊免受盜竊。實施雙因子驗證(2FA)也可以進一步驗證用戶身份並增加帳戶的安全性。

步驟 4

實施資料隱私和保護措施。對於金融科技應用程式(Mobile apps)來說,資料隱私是至關重要的,因為它們儲存了大量的個人和財務資料。重要的是,客戶的個人資訊必須根據適用的法律和法規(例如 GDPR)進行收集、儲存和處理。透過資料加密也可以幫助保護使用者資訊,避免被未經授權的人或惡意行為者存取。

步驟 5

應用程式使用雲伺服器和 API 伺服器從後端為用戶提供資訊。重要的是要確保行動應用程式的這部分是安全的,因為大部分的資料都儲存在這裡。必須嚴格監控存取,以防止任何潛在的網路威脅,同時消除基礎設施中的所有弱點。

Q-MAST 與金融科技應用程式(Mobile apps)

行動應用程式安全測試 Q-MAST,是在開發中或通過 Google(R) Play 或 Apple App Store 公開上架之前或之後的最好的分析測試工具。行動應用程式的安全測試通常涉及檢查 SQL 注入、資訊洩漏和其他惡意活動等漏洞。這些測試也可以用於漏洞檢測,並識別程式碼中可能允許攻擊者存取敏感資料或進行惡意操作的任何弱點。

在開發生命週期中對應用程式進行測試時,負責程式碼和功能的團隊或個人可以使用自動化測試,在每個開發版本迭代期間對其應用程式進行「檢測」。隨著應用程式逐漸接近發布階段,開發團隊將能夠與內部應用程式安全負責人分析軟體物料清單(SBOM),以及它是否受已知漏洞的影響。

對於在公開應用程式商店(Google Play或 Apple App Store)上隨時可用的應用程式,組織可以部署行動應用程式安全測試,以確認其應用程式安全協議是否仍然存在。確保經過多次版本釋出,保護措施確保不會人為因素或任何異常狀況導致有風險的應用程式上架到應用程式商店中。隨著設備的技術和功能擴展,金融科技應用程式(Mobile apps)必須忠於其安全基礎,通過進行徹底的安全測試和實施適當的安全措施,以確保應用程式中儲存的客戶資訊的安全和保密。

Quokka 的測試流程

Quokka 的 Q-MAST 解決方案超越了傳統的 Android 和 iOS 應用程式的軟體組成分析(SCA) 的能力。Q-MAST 分析行動應用程式運作方式,並識別潛在的加密或隱私問題。Q-MAST的動態分析測試超越了行業標準的OWASP CycloneDX 報告,揭漏了大家尚未知曉的弱點和漏洞。Q-MAST 確保您的應用程式在安全協議(如加密標準和信息共享位置)方面達到標準,確保您與自己的隱私政策保持一致。

Q-MAST 對分析應用程式的創新方法提供了無與倫比的安全洞察力。透過Q-MAST 詳細的資訊,可以檢測出各種潛在威脅並準確追溯其來源,即使在無法運行應用程式的情況下也能如此。Q-MAST 以獨立測試和公開驗證的技術開發為榮,並經歷了每個產品效能的嚴格同行評審過程。

Quokka 的威脅評分

Q-MAST 技術使組織能夠有效評估其應用程式的安全和隱私準備情況。Q-MAST為應用程式指定了「威脅評分」,在Q-MAST 的威脅等級中,較高的評分表示您的系統可能較不具備保護能力,而較低的評分則表示對威脅的準備更充分。

1703060305561