國際電信聯盟(International Telecommunication Union,ITU)的「金融包容全球倡議」(Financial Inclusion Global Initiative,FIGI)會議於今(2021)年5 月 18 日至 6 月 24 日透過線上舉行。
FIGI會議的宗旨在於支持政府提出促進金融參與的政策,並研究如何建立大眾對於數位金融服務(Digital Finance Service,DFS)的信任。其中,FIGI「安全、基礎建設與信任工作小組」(Working Group on ‘Security, Infrastructure and Trust)建立了「數位金融服務安全實驗室」,該實驗室為DFS應用程式的安全稽核提供一套結構性方法,以保護用戶個資及金融交易的完整性與機密性。
實驗室的四大目標
- 提供監管機構評估DFS基礎設施安全性及稽核DFS應用程式安全的指南;
- 威脅情報共享機制;
- DFS國際安全標準的應用指南;
- 跨DFS價值鏈的網路安全準備評估。
網路安全測試從基礎2G網路至高科技5G網路
以非結構化補充服務資料(Unstructured Supplementary Service Data,USSD)及SIM卡工具包 (SIM Toolkit,STK)為基礎,進行一系列DFS應用程式安全測試,包括:
- 模擬針對STK的中間人攻擊(Man-in-the-middle attack,MITM);
- 測試對二進位制無線攻擊(binary over-the-air attacks)的敏感性;
- 測試遠端USSD攻擊;
- 仿冒SIM卡之測試。
以「開放網頁應用程式安全計畫」(Open Web Application Security Project ,OWASP)中提及的10大風險為基礎,針對Android系統使用的DFS應用程式進行安全測試,並解決以下網路安全漏洞:
- 不當的平臺操作模式;
- 不安全的資料儲存模式;
- 不安全的通訊方式;
- 不安全的身分驗證方式;
- 低強度密碼;
- 竄改程式碼。
相關連結:
ITU News. ITU hosts new security lab for digital financial services. Retrieved from: https://www.itu.int/en/myitu/News/2021/05/18/09/14/ITU-hosts-new-security-lab-for-digital-financial-services (May 18, 2021)
