悠遊卡公司「Easy Wallet」app暫停查詢功能後,6月已重新上架恢復查詢功能,但手機刷機或JB者不能使用,悠遊卡公司並擬重新徵選app合作開發商。

Easy Wallet為悠遊卡公司去年推出的官方app,允許悠遊卡用戶登入卡號,查詢悠遊卡的交易紀錄、餘額,今年五月悠遊卡公司偵測到來自Easy Wallet的大量異常查詢,以遭到惡意攻擊為由,關閉app上的悠遊卡交易紀錄及餘額查詢功能,造成許多用戶的不便。

6月Android版本Easy Wallet已重新上架,重新開放app查詢功能,而iOS版本也在6月11日通過蘋果審查,重新在App Store上架。不過,卻有用戶仍無法使用,app出現閃退的問題。

對此,悠遊卡公司發表聲明指出,先前因偵測到大量異常登入查詢而暫停功能,app重整長達3個星期,對用戶造成的不便致歉,將檢討能力不足問題,避免類似問題再次發生。

Easy Wallet原為悠遊卡委託外部的開發商設計,五月出現大量異常查詢,讀取悠遊卡用戶交易資料,悠遊卡公司即要求委外業者關閉查詢功能,強化安全防護機制。

暫停服務的3週期間,悠遊卡公司除了要求合作業者修改app內參數傳遞方式及加密機制確保app使用安全,並在美國的資安顧問協助下,加強程式原始碼、程式檔混淆保護機制。另外,原本的委外開發商合約已到期,悠遊卡公司準備對外徵求新的開發商,以加強未來app功能及安全防護。

5月發生大量異常查詢暫停查詢服務時,便有網友指出,實際上為Easy Wallet設計上的問題,未做好防護機制,可以逆向工程API查詢卡片的交易紀錄,並非悠遊卡公司宣稱的遭受到大量異常存取的惡意攻擊。

對此,悠遊卡公司坦承確實app開發設計上不夠週全,使第三方可透過逆向工程查詢,在委外業者及國外的資安顧問的協助下,重新上架的app已修補這個問題,該公司也重申悠遊卡用戶的資料並沒有外洩出去。最初遭受惡意攻擊的說法也改為較中性的偵測到大量異常登入。

部份的用戶更新app出現的閃退問題,悠遊卡公司則回應,手機經過JB或root後已無法保證系統的安全性,手機業者對是否繼續提供保固也存在高度爭議,例如原本保護性高的iOS系統經過JB後,第三方可能取得app程式檔,可能影響到app的安全,而Android平台app刷機後也可能影響到資料傳輸安全,在資安考量下決定限制刷機用戶的app查詢。

不過,其他app並沒有限制手機刷機者使用,刷機用戶卻無法使用Easy Wallet查詢功能。悠遊卡公司表示,可能的原因是其他app還沒有遇到Easy Wallet類似的問題,未明白安全的重要性,另一個便是app開發商有足夠的技術能力,針對刷機用戶強化app安全,而這也是悠遊卡公司對外重新徵求合作開發商的原因。

熱門新聞

Advertisement