[PC3 Corp] 移動電子商務保安 — 2011年展望

作者: 梁兆昌

智能手機現在是城市生活的一個重要的溝通工具。除了通話和短訊外,它還有許多精彩的功能。它可以是一個條形碼閱讀器、一個攝影機、一個社會網絡客戶端、電子或郵件客戶端、定位及導航系統,非接觸式電子錢包等,完全取決於我們的想像力。其中許多功能,都可以結合到移動商貿上。

移動商務的先鋒
有人預測2011年將是移動商貿騰飛的一年。[註1] 事實上,我們現在已經有一些成功的移動商貿先驅。 2010年,eBay的商品交易總額為530億美元,有近20億美元的商品交易,是通過手機發生的。eBay的移動Apps不僅讓客戶在eBay上購買和出售物品,客戶還可以使用智能手機攝影機掃描貨物的條碼,從而找出eBay上同樣貨品的資訊,幫助顧客格價,帶引客戶到eBay買更平宜的貨品。 [註2]

PayPal在移動商務也有創新,它的移動應用可以有撞手機(bump phone) 去匯款 [圖1],可以利用智能手機拍下支票正反面的照片,來存入支票 [圖2]。JP摩根大通銀行比PayPal更早使用手機拍照存支票,JP摩根大通銀行還提供通過電子地址匯款的服務。[註3] 當然,利用智能手機拍下支票正反面的照片,來存入支票這辦法,是很容易偽冒的。


[圖1] 撞手機(bump phone)匯款


[圖2] 手機拍照存支票服務 (來源:http://money-watch.co.uk )

PayPal的快速結帳 (Express Checkout) 服務與商戶網站的購物流程緊密結合,提供客戶在同一個界面下,結合方便的購物方式和安全的付款服務。PayPal在2010年的移動付款服務數額比2009年的1.41億美元增長了5倍。[註4]

移動銀行服務:雙重認證可能要重新設計
手機在網上銀行的安全有一個角色。在金融監管機構規定要使用雙重認證的地方(如香港),銀行採用的第二個認證因素,可能是電子證書、或保安編碼器的單次使用密碼 (OTP)、或手機短訊的OTP。事移世易,當網上銀行服務踏足移動平台,如果使用手機接收短訊的OTP,加上客戶輸入的用戶名,密碼和OTP都是在智能手機輸入,那麼所有憑證交付祇經一個通道。一旦手機被惡意軟件控制,第一認證因素(密碼) 和第二個認證因素(OTP) 同時被攔截,並無提供加強的保安。所以,PayPal的快速結帳服務明確禁止使用手機短訊的OTP,建議客戶使用硬件保安編碼器的OTP[註5]。相信香港金管局對將移動銀行服務會採取類似的政策,祇是目前未有大鑼大鼓的出通告罷了。

移動商務應用軟件:信任從那裡來?
在非移動的環境中,公匙基建 (PKI) 給電子商務提供的安全和信任的基礎。在移動世界,這不是同一回事。 iPhone的應用和Android的應用都是使用自簽 (self sign) 方式,而不是由受信任的第三方發證機構簽署,信任鏈頓時「失去了根」。如果用戶不能驗證應用的身份,在App Store下載的應用可能有問題而不知。假冒的應用可能收集用戶的身份認證數據、敏感文件、或監聽個人電子郵件和短信、或冒充客戶發出消息,或針對性的監視客戶的位置和行為、或使用高收費的短信或語音服務,基至顛覆網上金融交易。

Google Android Market提供了很多的自由給程式開發者,上載他們的應用程序。誰知道有多少低質量的軟件,甚至惡意軟件充斥在 Market上?至於蘋果和黑莓,每個在他們的商店上架的應用程序都要經過個審查程。蘋果和黑莓應用程式開發者購買許可證密鑰,在Apple App Store 和 Blackberry App World下載的應用程序,都經過蘋果和黑莓的認證。理論上,蘋果和黑莓有更多的控件。然而,一個「圍牆花園」(Walled Garden)的做法並非萬無一失。每天數以百計待審查的應用程序,總是有可能有漏網之魚繞過檢測。一些機構,如美國銀行就是不使用別人的 AppStore,而是通過他們的銀行的網站提供移動應用程序的下載。由於銀行網站使用的SSL證書由受信任的第三方發證簽署,為移動應用程序的下載提供相等的信任。

移動基礎設施的安全性:它準備好了嗎?
大多數智能手機的應用程序都使用沙箱 (Sandbox) 技術,一個移動應用程序不能訪問其他移動應用程序使用的存儲區域和記憶體。然而,攻擊者可以使用社會工程技術來引誘用戶授權一個應用程序提升權限;例如一些惡意軟件假扮安全軟件,要求用戶允許它「掃描到」整個裝置,或檢查其他項目,從而取得較高權限。

2010年,移動保安套件開始出現。越來越多的安全軟件今年將會就位,它們幫助檢測可疑軟件、加密重要數據的移動設備和加密通信的消息。同時,CPU和記憶體的升級,讓手機有較充裕的資源運行較複雜的保安套件。

智能手機企業管理解決方案比傳統的PC相對是弱,反過來說是有商機。 RIM公司已經宣布,他們計劃提供企業移動設備管理解決方案,包括非黑莓的移動設備,我們期待生產企業管理解決方案便在今年會有更多的發展 [註6]。

1. Eight reasons why 2011 is the year of mobile commerce
http://econsultancy.com/uk/blog/7053-eight-reasons-why-2011-is-the-year-of-mobile-commerce
2. Mobile Commerce Now Fueling Billions of Dollars in Transactions at eBay
http://mashable.com/2011/01/19/ebay-paypal-mobile-commerce/
3. Chase iPhone App Adds Mobile Check Deposits
http://www.mybanktracker.com/bank-news/2010/07/07/chase-iphone-app-incorporates-mobile-check-deposits-3pm-wednesday/
4. PayPal Smartphone Transactions: Increasingly Important for eBay
http://seekingalpha.com/article/194339-paypal-smartphone-transactions-increasingly-important-for-ebay
5. Features Not Supported by Express Checkout on Mobile Devices
https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_api_ECOnMobileDevices#id106SI0P0T5Z
6. Getting Started With Corporate iPad and iPhone Mobile Security
http://www.redspin.com/blog/2011/01/21/getting-started-with-corporate-ipad-and-iphone-mobile-security/

Comments are closed.