ITU成立數位金融服務安全實驗室

國際電信聯盟(International Telecommunication Union,ITU)的「金融包容全球倡議」(Financial Inclusion Global Initiative,FIGI)會議於今(2021)年5 月 18 日至 6 月 24 日透過線上舉行。

FIGI會議的宗旨在於支持政府提出促進金融參與的政策,並研究如何建立大眾對於數位金融服務(Digital Finance Service,DFS)的信任。其中,FIGI「安全、基礎建設與信任工作小組」(Working Group on ‘Security, Infrastructure and Trust)建立了「數位金融服務安全實驗室」,該實驗室為DFS應用程式的安全稽核提供一套結構性方法,以保護用戶個資及金融交易的完整性與機密性。

實驗室的四大目標

  1. 提供監管機構評估DFS基礎設施安全性及稽核DFS應用程式安全的指南;
  2. 威脅情報共享機制;
  3. DFS國際安全標準的應用指南;
  4. 跨DFS價值鏈的網路安全準備評估。

網路安全測試從基礎2G網路至高科技5G網路

以非結構化補充服務資料(Unstructured Supplementary Service Data,USSD)及SIM卡工具包 (SIM Toolkit,STK)為基礎,進行一系列DFS應用程式安全測試,包括:

  1. 模擬針對STK的中間人攻擊(Man-in-the-middle attack,MITM);
  2. 測試對二進位制無線攻擊(binary over-the-air attacks)的敏感性;
  3. 測試遠端USSD攻擊;
  4. 仿冒SIM卡之測試。

以「開放網頁應用程式安全計畫」(Open Web Application Security Project ,OWASP)中提及的10大風險為基礎,針對Android系統使用的DFS應用程式進行安全測試,並解決以下網路安全漏洞:

  1. 不當的平臺操作模式;
  2. 不安全的資料儲存模式;
  3. 不安全的通訊方式;
  4. 不安全的身分驗證方式;
  5. 低強度密碼;
  6. 竄改程式碼。

 

相關連結:

ITU News. ITU hosts new security lab for digital financial services.  Retrieved from: https://www.itu.int/en/myitu/News/2021/05/18/09/14/ITU-hosts-new-security-lab-for-digital-financial-services (May 18, 2021)

回到頂端