据悉,任意被伪造、修改的手机转帐应用程序(application)在网上传开,而且被频繁用于实际交易上。专家们警告说这些伪造、修改的应用程序可以成为在使用者不知觉的情况下转走个人信息或给第3者转帐资金的“钓鱼(phishing)”工具。但是大多数金融公司对此未能制定有效的对策。
19日根据东亚日报确认的农协中央会智能手机金融应用程序登陆现况,通过伪造、修改的应用程序试图登录系统的次数每日平均高达700多次。农协中央会有关人士表示:“为了防止伪造、修改应用程序的接近,从今年初开始统计了登陆试图现况,初期为每日600多次的平均登陆试图在本月增加到了700多次”,“最近建立了自行系统,完全切断了通过伪造、修改应用程序的登陆。”
估计在其他市中银行业也有与农协雷同的登陆试图。但是这些中多数未能切断登陆,连登出现况也未能掌握。
部分使用者在金融交易中使用伪造、修改应用程序的理由是因为使用所谓的“越狱(rooting)手机”。“越狱手机”是为了提高速度或免费下载交费应用程序而改造的智能手机。市中银行以保安问题为由,禁止使用越狱手机进行金融交易。
根据去年末韩国版权委员会的设问调查,每10名智能手机使用者中有1名具有“越狱”经验。智能手机业界认为实际上有更多的使用者在使用越狱手机。
在网络搜索中很容易找到伪造、修改金融应用程序。在网络搜索页中搜索“用△△手机使用○○银行应用程序”、“智能转帐△△”等等,就可以找到数十个伪造、修改的文件和使用方法。 使用这些应用程序的话可以绕过银行阻止的保安墙壁,登陆转帐系统。即,使用者不用直接伪造、修改应用程序,可以直接设置他人事前制作好的应用程序进行金融交易。
问题是在这种伪造、修改应用程序中如果含有其他意图的命令语,就可以引发严重的金融事故。目前为止虽然没有被报告的事例,但是有可能给其他帐户转帐或修改转帐上限额。而且也可以搜集居民登录号或帐户号、密码等个人信息,或称为遵从特定命令的“僵尸(Zombie)手机”。
因为这些风险,金融当局在去年10月份修改了“电子金融监督规定”,规定金融公司在4月10日之前制定针对伪造、修改应用程序的对策。因为去年末到现在,利用智能手机的手机转帐使用者超过了1000万名,增加速度很快。但是大多数银行对此还未能制定有效对策。
一名市中银行有关人士透露:“在强化网络转帐保安就已经不够人手,手机转帐根本没时间管”,“估计其他银行的情况也差不多。”
要求匿名的一名有关保安的教授主张:“放置不管伪造、修改应用程序等于是抱着可以引发大型金融事故的炸弹”,“让维持源代码公开政策的古歌在金融应用程序上设立另行认证,不让程序代码能轻易被伪造、修改,这也可以成为一种解决方法。”
部分人也主张允许越狱手机使用者使用正式版应用程序。目前通过越狱手机的转帐系统登陆本身就被禁止,因此越狱手机使用者们只能寻找伪造、修改应用程序。
朴昌奎 kyu@donga.com
About Dong-A Ilbo