研究結果表明,國內金融安全程序的強制安裝反而會被惡意利用在網絡攻擊上。
韓國科學技術院(KAIST)電氣電子工程系金容大、尹仁洙教授聯合研究團隊2日宣布,聯合高麗大學金承柱教授團隊、成均館大學金亨植教授團隊及安全專業企業Theori共同分析韓國金融安全軟件,發現其存在設計層面的結構性缺陷與安全漏洞。
研究團隊通過分析國內主要金融機構及公共機構使用的7種主流安全程序(韓國安全解決方案•KSA),共發現19個嚴重安全漏洞。主要漏洞類型包括:△鍵盤輸入竊取 △中間人攻擊(MITM)△數字證書泄露 △遠程代碼執行(RCE)△用戶識別與追蹤等。
此類問題源於韓國金融安全軟件的結構性局限。原則上,網絡瀏覽器會限制外部網站訪問系統內部文件等敏感信息。但韓國金融安全軟件通過規避瀏覽器安全機制,直接執行敏感系統功能。
研究團隊指出:“全球範圍內,金融及公共服務領域強制安裝此類安全程序實屬罕見政策。”研究團隊對全國400人開展的在線問卷調查顯示,97.4%受訪者曾為使用金融服務安裝過韓國安全解決方案。
金容大教授表示:“安全軟件本應成為用戶的安全屏障,卻可能淪為黑客攻擊的通道。政策亟需轉型——應摒棄強制安裝非標準安全軟件的模式,轉向遵循Web標準及瀏覽器安全模型的解決方案。”
張恩智記者 jej@donga.com
About Dong-A Ilbo