OmniBud提倡AOTP與2uBill 落實安全行動支付
眾所周知,金融服務茲事體大,因此銀行發展數位新業務,必須全力維護交易安全。至於應當謹守之重點,大致包含三項,一是金融資安等同國安,需能承載網軍攻擊;二是App僅是軟體可被破解,要適當使用硬體進行身份與支付驗證確保交易安全;三是數位金融屬網際網路服務已無國界,創新服務同時要評估國際專利侵權風險,與數位金融專利持有方戰略合作。
OmniBud董事長林仲宇認為,「人工確認交易內容」要求在App驗證,勢必無法落實,只因App僅是安裝上去的軟體,無硬體保護,所以只要有足夠誘因,自然會被破解進行改寫;此外由於破解憑證、演算法或綁定硬體程式的難度頗高,故駭客會藉由較簡單的途徑切入,僅需破解控制對應憑證或硬體的App,移除其人工確認程式或加入遠端控制功能,便可盜用綁定的憑證或硬體進行盜用交易。
無論如何,銀行發展數位金融新業務,需滿足三大交易驗證實施要點——安全(舉證)、便利、普及,以安全為優先前提,全力避免詐欺與糾紛,但要讓民眾在手機上以最少的動作使用服務,而不需再拿出手機外的硬體進行驗證,之所以特別強調手機,乃在於普及性高,使銀行無需大幅投資便可提供數位金融服務。
在此前提下,論及行動互聯網金融安全議題,重點便在於手機安全,銀行需做到從臨櫃認人轉到網路認手機(綁定SIM卡或其他硬體),並善用手機號碼的全球唯一性,將此列為使用者可公開、可連結且可驗證的第二身份證號。
但林仲宇提醒,手機並非安全無虞。問題之一為「簡訊OTP驗證破解」,目前簡訊OTP驗證機制,是消費者接收驗證碼簡訊再透過網頁回填驗證碼,故當手機被植入木馬程式,駭客可攔截簡訊中的驗證碼完成交易,顯見簡訊OTP的安全與舉證力皆不足;問題之二為「App驗證破解」,例如Android木馬家族SlemBunk,已被發現針對33個不同行動銀行App進行偽冒,伺機竊取帳密,風險可見一斑。
意欲化解前述安全盲點,林仲宇建議可善用簡訊AOTP模式,其為一種整合多項專利的身份驗證技術,消費者在進行電子商務、數位銀行、線上付款、票券啟用、電郵簽核...等作業時,從網頁取得驗證碼後,使用指定手機以簡訊主動發送驗證碼至指定電信簡碼進行驗證,取代傳統OTP電腦網頁填入驗證碼,改善無法確認回填者身份與除去寫在App程式碼裡的應用層人工確認程序遭破解移除的風險。
綜觀簡訊AOTP之硬體系統層安全優勢,在於使用指定手機傳送驗證簡訊至電信簡碼必有的手機硬體系統層人工確認機制,有助杜絕駭客之手機病毒植入、App破解與偽基站攻擊以提高安全,此外使用手機簡訊驗證快速方便,消費者接受度高。
有關簡訊AOTP與App AOTP之比較,前者優點在於屬電信硬體驗證,手機硬體系統層的人工確認不會因中毒或App破解而遭移除,可適用於所有交易,缺點是需支付簡訊發送費用,至於App AOTP雖不涉及簡訊成本,但屬App軟體驗證,App應用層人工確認程式可能被逆向工程破解而遭移除,安全與舉證力不甚充足,僅適用在低金額交易。
林仲宇指出,因此銀行可權衡上述兩者利弊得失,在AOTP數位金融安全政策的推動上採取「雙模」原則:將簡訊AOTP用於所有金額交易與其他需要較高安全之服務,確保安全與舉證;App AOTP驗證則用於低金額交易,以降低成本。如此駭客僅有機會攻擊低金額交易,不符其投資效益,藉以除去攻擊動機,同時可偵測未通過手機驗證的來源,進一步主動嚇阻攻擊,且依需求增加部分交易內容驗證,進一步除去竄改交易內容的中間人攻擊。
另一方面,林仲宇認為基於銀行立場,理想的安全行動支付方案,宜以銀行帳戶為支付工具(最貼近現金本質),並如前所述以雙模AOTP為支付驗證工具,此外以銀行App讀取QR Code為用戶端,以QR Code為支付介質顯示於店家端(最低建置成本),並可依需求限制支付者身份,且拜標準化QR Code所賜減少店家端的重複建置。故兼具上述特徵的2uBill Pay服務可謂前景看俏,惟仍需搭配雙模AOTP確保支付驗證安全,藉由「可指定付款者」確保帳單驗證安全,並透過銀行App支付以保障支付工具安全。