資訊安全暨鑑識科技實驗室
基本資安檢測報告(行動應用App程式)
報告編號
R110015i1
檢測依據
依據經濟部工業局「行動應用App基本資安檢測基準V3.1」實施檢測
送檢單位名稱
臺灣新光商業銀行
送檢單位聯絡方式
(02) 2171-1112 Ext:5679 吳振銘
受測行動應用程式資訊
通用名稱
新光商業銀行
唯一識別名稱
com.skbank.powerpos
APP雜湊值
8bd8a4ec0e18dde7c75238c42346e6fe3dcc94ee3bf1a5a8859c4e1d3bc55a69(SHA256)
作業系統
iOS:9.0以上
程式版本
1.2.0
檢測分類
L3:含有交易行為之行動應用程式
檢測結果
■符合29項 ■不符合0項 ■不適用1項 ■不檢測1項
檢測起始日期
2022.06.06
檢測完成日期
2022.07.07
檢測場所
台北市信義區基隆路一段333號30樓實驗室
報告日期
核發日期:
職稱
姓名
簽名
報告核准人
實驗室負責人
柯博文
報告簽署人
副總
麥卡登
檢測人員
資深顧問
黃家新
重要聲明
| 壹、 | 本份報告係依據經濟部工業局「行動應用App基本資安檢測基準V3.1」實施檢測要求項目製作完成。 |
| 貳、 | 本報告僅為初稿,其內容仍可能有所修正或刪除。最終確認的執行成果將完整彙總於正式報告中。隨件附上一份PDF格式文件作為本報告之最終定稿。 |
| 參、 | 本本份報告係依據資誠企業管理顧問股份有限公司與臺灣新光商業銀行股份有限公司於民國110年簽訂之電腦系統資訊安全評估服務採購合約書製作完成,僅單獨提供臺灣新光商業銀行股份有限公司內部參考使用。 |
| 肆、 | 本報告內容依據臺灣新光商業銀行股份有限公司提供之行動應用程式APP「新光鑫支付」為測試對象,並在測試過程參考廠商所提供之相關文件,本公司不對前述資料的真實性進行驗證,同時本公司亦不保證前述資料之完整性及正確性。 |
| 伍、 | 本報告內容依據臺灣新光商業銀行股份有限公司所提供之相關資料及與臺灣新光商業銀行股份有限公司內部員工訪談內容製作完成,本公司不對前述資料的真實性進行驗證,同時本公司亦不保證前述資料之完整性及正確性。 |
| 柒、 | 柒、本報告內容僅依據報告內提及之檢測標的進行檢測與報告撰寫,不對該檢測標的以外之產品進行結果驗證,故本公司不保證檢測標的以外之產品之可靠性。 |
| 柒、 | 本份報告為機密文件,在未取得本公司書面同意下,除申請本檢測相關之標章外,本報告不得複製或提供第三人使用,亦不得作為其他用途。對於任何人因違反前述規定,任意傳閱、複製或使用本份報告所引發之任何損失,本公司將不負任何義務及責任。 |
| 捌、 | 本份報告僅對本次提供之行動應用APP有效。 |
1. 檢測工具
■ 硬體檢測工具
| 編號 | 手機廠牌 | 作業系統版本 | 備註 |
| 1 | Apple | 12.4 | 具Root權限 |
■ 軟體檢測工具
| 編號 | 軟體名稱 | 版本 | 功能說明 |
| 1 | Mobsf | 3.3.1 | 應用程序分析工具 |
| 2 | Burp Suite | V2021.4.2 | 代理伺服器工具-檢視與攔截行動應用App之網路行為,用於驗證伺服器憑證 |
| 3 | SQLite Database Browser | 3.12.1 | 資料庫檢視工具 |
■ 外部參考資訊
| 編號 | 網站 | 網址 | 功能說明 |
| 1 | virustotal | https://www.virustotal.com/ | 免費的病毒、蠕蟲、木馬和各種惡意軟體分析服務 |
| 2 | CVE Detail | https://www.cvedetails.com/ | CVE安全漏洞資料庫 |
2. 檢測結果摘要
| 檢測編號 | 檢測項目 | 檢測分類 | 檢測結果 |
| 4.1.1.1.2 | 行動應用程式發布說明 | L1、L2、L3 | 符合 |
| 4.1.1.3.1 | 行動應用程式問題回報 | L1、L2、L3 | 符合 |
| 4.1.2.1.1 | 行動應用程式安全敏感性資料蒐集聲明 | L1、L2、L3 | 符合 |
| 4.1.2.1.2 | 行動應用程式提供使用者拒絕安全敏感性資料蒐集機制 | L1、L2、L3 | 符合 |
| 4.1.2.3.1 | 行動應用程式安全敏感性資料儲存聲明 | L1、L2、L3 | 符合 |
| 4.1.2.3.2 | 行動應用程式提供使用者拒絕安全敏感性資料儲存機制 | L1、L2、L3 | 符合 |
| 4.1.2.3.4 | 行動應用程式安全敏感性資料儲存限制 | L1、L2 | 不檢測 |
| 4.1.2.3.5 | 行動應用程式安全敏感性資料儲存限制 | L3 | 符合 |
| 4.1.2.3.6 | 行動應用程式安全敏感性資料儲存保護 | L1、L2、L3 | 符合 |
| 4.1.2.3.7 | 行動應用程式安全敏感性資料儲存控管 | L1、L2、L3 | 符合 |
| 4.1.2.3.8 | 行動應用程式安全敏感性資料硬碼(Hard Code) | L1、L2、L3 | 符合 |
| 4.1.2.3.9 | 行動應用程式畫面擷取警示 | L3 | 符合 |
| 4.1.2.4.1 | 行動應用程式安全敏感性資料傳輸 | L1、L2、L3 | 符合 |
| 4.1.2.5.1 | 行動應用程式安全敏感性資料分享聲明 | L1、L2、L3 | 符合 |
| 4.1.2.5.2 | 行動應用程式提供使用者拒絕安全敏感性資料分享機制 | L1、L2、L3 | 符合 |
| 4.1.2.5.3 | 行動應用程式安全敏感性資料分享權限控管 | L1、L2、L3 | 符合 |
| 4.1.3.1.1 | 行動應用程式交易資源使用聲明 | L3 | 符合 |
| 4.1.3.1.2 | 行動應用程式拒絕交易資源使用機制 | L3 | 符合 |
| 4.1.3.2.1 | 行動應用程式交易資源使用者身分鑑別 | L3 | 符合 |
| 4.1.3.2.2 | 行動應用程式交易資源紀錄 | L3 | 符合 |
| 4.1.4.1.1 | 行動應用程式使用者身分鑑別機制 | L2、L3 | 符合 |
| 4.1.4.1.2 | 行動應用程式使用者身分授權 | L2、L3 | 符合 |
| 4.1.4.2.1 | 行動應用程式交談識別碼規則性 | L2、L3 | 符合 |
| 4.1.4.2.2 | 行動應用程式伺服器憑證有效性 | L1、L2、L3 | 符合 |
| 4.1.4.2.3 | 行動應用程式伺服器憑證簽發來源 | L1、L2、L3 | 符合 |
| 4.1.5.1.1 | 行動應用程式惡意程式碼 | L1、L2、L3 | 符合 |
| 4.1.5.1.2 | 行動應用程式資訊安全漏洞 | L1、L2、L3 | 符合 |
| 4.1.5.3.1 | 行動應用程式函式庫引用安全 | L1、L2、L3 | 符合 |
| 4.1.5.4.1 | 行動應用程式使用者輸入檢查 | L1、L2、L3 | 符合 |
| 4.1.5.4.2 | 行動應用程式注入攻擊防護機制 | L1、L2、L3 | 符合 |
| 4.2.2.1.2 | 行動應用程式之Webview安全檢測 | L1、L2、L3 | 不適用 |
3. 檢測方法與結果
4.1.1.1.2 行動應用程式發布說明
檢測分類
L1、L2、L3
檢測依據
行動應用 App 基本資安規範」4.1.1.1行動應用程式發布
技術要求
行動應用程式應於蒐集安全敏感性資料前,取得使用者同意。
檢測基準
若行動應用程式已發布,檢查行動應用程式是否於應用程式商店,依實際需要說明欲存取之安全敏感性資料、行動裝置資源及宣告權限用途。
若行動應用程式尚未發布,檢查調查表內是否有說明預計提供欲存取之安全敏感性資料、行動裝置資源及宣告權限用途之說明。
如為「是」則符合檢測基準;「否」則不符合檢測基準。
若行動應用程式尚未發布,檢查調查表內是否有說明預計提供欲存取之安全敏感性資料、行動裝置資源及宣告權限用途之說明。
如為「是」則符合檢測基準;「否」則不符合檢測基準。
檢測結果
符合要求:符合檢測基準
不符合要求:不符合檢測基準
不適用:行動應用程式未公開或未發布,則此項不須檢測
不符合要求:不符合檢測基準
不適用:行動應用程式未公開或未發布,則此項不須檢測
備註
須於「行動應用程式基本資料調查表」(附錄三、行動應用App基本資安檢測資料調查表)自我宣告發布來源。
應用程式商店之宣告以行動裝置之商店介面為主。
應用程式商店之宣告以行動裝置之商店介面為主。
驗證結果
符合
經檢測,行動應用程式已發布於Apple App Store,行動應用程式於應用程式商店,依實際需要說明欲存取之安全敏感性資料、行動裝置資源及宣告權限用途。依據上述檢測結果,故判定為符合。
經檢測,行動應用程式已發布於Apple App Store,行動應用程式於應用程式商店,依實際需要說明欲存取之安全敏感性資料、行動裝置資源及宣告權限用途。依據上述檢測結果,故判定為符合。
圖示說明
圖一,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
圖二,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
4.1.1.3.1 行動應用程式問題回報
檢測分類
L1、L2、L3
檢測依據
「行動應用 App 基本資安規範」4.1.1.3行動應用程式安全性問題回報
技術要求
行動應用程式開發者應提供回報安全性問題之管道。
檢測基準
若行動應用程式已發布,檢查行動應用程式所有蒐集之安全敏感性資料,是否皆已於應用程式商店或行動應用程式內聲明,並取得使用者同意。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
檢測結果
符合要求:符合檢測基準,或行動應用程式未蒐集安全敏感性資料。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
備註
應用程式商店之宣告以行動裝置之商店介面為主。
檢測工具
網頁瀏覽器、Mobsf
驗證結果
符合
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
圖示說明
圖一,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
圖二,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
4.1.2.1.1 行動應用程式安全敏感性資料蒐集聲明
檢測分類
L1、L2、L3
檢測依據
「行動應用 App 基本資安規範」4.1.2.1 安全敏感性資料蒐集
技術要求
行動應用程式應於蒐集安全敏感性資料前,取得使用者同意。
檢測基準
若行動應用程式已發布,檢查行動應用程式所有蒐集之安全敏感性資料,是否皆已於應用程式商店或行動應用程式內聲明,並取得使用者同意。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
檢測結果
符合要求:符合檢測基準,或行動應用程式未蒐集安全敏感性資料。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
備註
應用程式商店之宣告以行動裝置之商店介面為主。
驗證結果
符合
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
圖示說明
圖一,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
圖二,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
4.1.2.1.1 行動應用程式安全敏感性資料蒐集聲明
檢測分類
L1、L2、L3
檢測依據
「行動應用 App 基本資安規範」4.1.2.1 安全敏感性資料蒐集
技術要求
行動應用程式應於蒐集安全敏感性資料前,取得使用者同意。
檢測基準
若行動應用程式已發布,檢查行動應用程式所有蒐集之安全敏感性資料,是否皆已於應用程式商店或行動應用程式內聲明,並取得使用者同意。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
檢測結果
符合要求:符合檢測基準,或行動應用程式未蒐集安全敏感性資料。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
備註
應用程式商店之宣告以行動裝置之商店介面為主。
驗證結果
符合
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
圖示說明
圖一,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
圖二,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
4.1.2.1.1 行動應用程式安全敏感性資料蒐集聲明
檢測分類
L1、L2、L3
檢測依據
「行動應用 App 基本資安規範」4.1.2.1 安全敏感性資料蒐集
技術要求
行動應用程式應於蒐集安全敏感性資料前,取得使用者同意。
檢測基準
若行動應用程式已發布,檢查行動應用程式所有蒐集之安全敏感性資料,是否皆已於應用程式商店或行動應用程式內聲明,並取得使用者同意。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
檢測結果
符合要求:符合檢測基準,或行動應用程式未蒐集安全敏感性資料。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
備註
應用程式商店之宣告以行動裝置之商店介面為主。
驗證結果
符合
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
圖示說明
圖一,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
圖二,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
4.1.2.1.1 行動應用程式安全敏感性資料蒐集聲明
檢測分類
L1、L2、L3
檢測依據
「行動應用 App 基本資安規範」4.1.2.1 安全敏感性資料蒐集
技術要求
行動應用程式應於蒐集安全敏感性資料前,取得使用者同意。
檢測基準
若行動應用程式已發布,檢查行動應用程式所有蒐集之安全敏感性資料,是否皆已於應用程式商店或行動應用程式內聲明,並取得使用者同意。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
檢測結果
符合要求:符合檢測基準,或行動應用程式未蒐集安全敏感性資料。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
備註
應用程式商店之宣告以行動裝置之商店介面為主。
驗證結果
符合
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
圖示說明
圖一,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
圖二,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
4.1.2.1.1 行動應用程式安全敏感性資料蒐集聲明
檢測分類
L1、L2、L3
檢測依據
「行動應用 App 基本資安規範」4.1.2.1 安全敏感性資料蒐集
技術要求
行動應用程式應於蒐集安全敏感性資料前,取得使用者同意。
檢測基準
若行動應用程式已發布,檢查行動應用程式所有蒐集之安全敏感性資料,是否皆已於應用程式商店或行動應用程式內聲明,並取得使用者同意。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
若行動應用程式尚未發布或不公開發布,檢查調查表內是否有說明預計於應用程式商店宣告之安全敏感性資料蒐集聲明並取得使用者同意。如為「是」則符合本項檢測基準;「否」則不符合本項檢測基準。
檢測結果
符合要求:符合檢測基準,或行動應用程式未蒐集安全敏感性資料。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
不符合要求:不符合檢測基準。
不適用:行動應用程式不公開發布,則此項不須檢測。
備註
應用程式商店之宣告以行動裝置之商店介面為主。
驗證結果
符合
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
經檢測,行動應用程式已發布,
1. 行動應用程式所有蒐集之安全敏感性資料,有於應用程式商店或行動應用程式內聲明。
2. 且有於行動應用程式內取得使用者同意。
依據上述檢測結果,故判定為符合。
圖示說明
圖一,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料
圖二,應用程式商店或行動應用程式內聲明行動應用程式所有蒐集之安全敏感性資料