【資訊安全】金融機構提供行動裝置應用程式作業規範（Part 2）

前言：本文接續上一篇文章（文章連結），繼續介紹《金融機構提供行動裝置應用程式作業規範》。

第九條
金融機構每年應辦理下列檢測：
一、 由合格實驗室依據經濟部工業局「行動應用APP基本資安檢測基準」辦理並通過檢測，且由資安專責單位確認完成改善。
二、 針對應用程式及其應用伺服器之完整功能辦理程式碼掃碼或黑箱測試，並修正中/高風險漏洞。如因使用工具檢測可能導致之誤判或有解讀差異，金融機構得自行評估相關漏洞是否列為可承擔之風險，如屬可承擔風險並留存該風險評估紀錄者，不在此限。
三、 由評估單位針對應用程式及其應用伺服器依據本作業規範及OWASP公布之Mobile APP Security Checklist L2項目辦理並通過檢測，且由資安專責單位確認完成改善。
應就前項合格檢測實驗室及評估單位所提交之報告建立檢視機制，並送資安專責單位監控及執行資訊安全管理作業。

第九條是民國109年4月17日版《金融機構提供行動裝置應用程式作業規範》變動幅度最大的條文。舊版條文僅要求辦理APP基本資安檢測，新版條文增加程式碼掃描、黑箱測試（滲透測試）等檢測方式，針對檢測項目也有特別的規定。

經濟部工業局發布《行動應用App基本資安檢測基準》，依據有無驗證身分及交易行為，將應用程式分為甲、乙和丙三類，每一類都有對應的檢測項目，金融機構會將應用程式送交合格實驗室進行檢測。對於資安評估單位而言，重點是確認所有應用程式都通過檢測，並且取得合格證書。

第二點與《金融機構辦理電腦系統資訊安全評估辦法》第五條的「客戶端應用程式檢測」大致相同，雖然本規範特別註明金融機構可以評估是否修補弱點，但是多數金融機構早已導入補償措施或例外處理機制，主管機關可以說是誨人不倦。評估人員應徵求程式碼掃描、滲透測試報告，確認受評系統（應用程式因對外提供服務，原則上屬於第一類系統）是否經過檢測，並從複測報告中瞭解弱點是否完成修補；若無法修補，應有對應的延長修補期限或接受弱點紀錄。

第三點有些尷尬，規範要求執行資安評估的單位應辦理檢測，但評估單位未必有提供相關服務，或金融機構早已委託其他廠商辦理檢測。總歸一句，金融機構應要求廠商辦理規範要求的檢測項目，並確認弱點已經完成改善。

第十一條
採用行動裝置儲存金鑰之安全設計，應符合下列要求：
一、 應採用下列任一技術保護金鑰：
(一) 採用晶片安全設計者，金鑰應儲存於符合我國國家標準 CNS 15408 EAL5、共通準則(Common Criteria)ISO/IEC 15408 v2.3 EAL 5 或 FIPS 140–2 Level 3 以上或其他安全強度相 同之安全元件 (SE)內，並能防堵市面上常見之攻擊破解方法。
(二) 採用軟體保護技術(如白箱加密法並搭配程式碼混淆技術)並經評估單位確認安全防護。
二、 透過金鑰運算(如 OTP、TAC 等)應用於非約定轉入帳戶之轉帳交易，應確認金鑰儲存於客戶指定之行動裝置。
三、 應於交易時增設存取控管或人工確認，限制由可信任行動應用程式存取金鑰，以防止遭受惡意程式發動阻斷服務攻擊或執行偽冒交易。

部分金融機構導入軟體令牌（Soft Token）作為身分驗證機制，軟體令牌會在行動裝置上儲存金鑰，供後續執行交易時加密使用，多數金融機構委由廠商（如iDGate）開發應用程式。考量應用程式經辦未必熟悉相關技術，建議評估人員透過經辦向廠商取得回覆。一般來說，廠商會使用軟體保護技術（如Android ProGuard）。

要確認金鑰是否儲存於客戶指定的行動裝置，應該先瞭解如何綁定行動裝置。原則上，客戶會在行動裝置上輸入綁定驗證碼，而且一個身分證字號限綁定一個裝置。如果客戶更換行動裝置的話，就要重新進行綁定。金融機構透過上述做法確認金鑰儲存於指定的裝置。

以下提供人工確認的範例：金融機構將交易訊息推播至應用程式，客戶需點擊確認或取得OTP後，回到網路銀行完成交易。至於存取控制，留待下一篇談到安全元件（SE）時一併介紹。