韩国是唯一一个被强制要求安装金融安全软件的国家。然而,有意见指出,金融安全软件反而可能加剧暴露于安全威胁的忧虑。专家建议,要解决这一问题,与其强制安装安全程序,不如在网站和互联网浏览器中遵循既定的安全规则和万维网标准,进行“根本性转变”。
(上排自左起)Kim Yongdae 教授、Yoon Insu 教授、Kim Hyungsik 教授、Kim Seungjoo 教授,(下排自左起)Yoon Taesik 研究员、Lee Yonghwa 研究员、Jeong Suhwan 研究员等联合研究团队成员。KAIST 提供
View original image韩国科学技术院(KAIST)电气及电子工程系研究团队(金Yongdae、Yoon Insu 教授)与高丽大学金Seungjoo 教授团队、成均馆大学金Hyungsik 教授团队以及安全专业企业 Theori 旗下研究团队共同开展了“韩国金融安全软件的结构性脆弱点”分析研究,并于2日公布了结果。
首先,联合研究团队关注到,在朝鲜发动的网络攻击中,韩国的安全软件为何会成为主要攻击目标,并据此展开原因分析。结果发现,国内安全软件在设计上的结构性缺陷与在软件实现上的脆弱点同时暴露出来。
尤为关键的是,在国内使用金融及公共服务时被强制安装安全程序的制度,本身就成为其沦为网络攻击主要目标的原因之一。这些结构性缺陷和实现层面的脆弱点,反而被恶意利用为网络攻击的路径。
例如,联合研究团队分析了国内主要金融机构和公共机构使用的7种主要安全程序(Korea Security Applications,以下简称 KSA 程序),共发现19项安全脆弱点。主要脆弱点包括:▲键盘输入窃取 ▲中间人攻击(MITM)▲公认证书泄露 ▲远程代码执行(RCE)▲用户识别及追踪等。
部分脆弱点在联合研究团队通报后已通过补丁(以应急方式快速修改程序部分)进行了修复,但贯穿整个安全生态系统的根本性设计缺陷仍未得到解决。
基于同样原因,联合研究团队指出,“安全软件本应成为‘保障用户安全的工具’这一基本前提并未得到遵守,反而可能被恶意利用为攻击通道”,并强调“有必要对安全生态系统进行根本性的范式转变”。
例如,国内金融安全软件被设计成绕过网页浏览器的安全结构来执行敏感的系统功能。
原则上,浏览器会限制外部网站访问系统内部文件等敏感信息,但为维持由键盘安全、防火墙、证书存储构成的所谓“安全三件套”,KSA 通过回环通信、调用外部程序、使用非标准应用程序接口(API)等浏览器外部通道,来绕过这些限制。
这种方式在2015年以前主要通过安全插件 ActiveX 来实现,但由于存在安全脆弱性和技术局限,ActiveX 支持被中止,当时曾被寄予实现根本性改进的期待。
然而,现实情况是,这一结构被可执行文件(.exe)等类似架构所替代,旧有问题被一再重复,由此导致绕过浏览器安全边界或直接访问敏感信息的安全风险依然存在,这是联合研究团队指出的核心问题。
尤其是,这种设计与▲同源策略(Same-Origin Policy,SOP)▲沙盒机制 ▲权限隔离等最新网页安全机制正面冲突,已被实证证明可能被恶意利用为新的攻击路径。
在联合研究团队面向全国400人开展的在线问卷调查中,97.4%的受访者回答“为使用金融服务安装过 KSA”,其中59.3%的人表示“不知道这是做什么的程序”。
在对48台实际使用中的个人电脑进行分析时发现,每人平均安装了9个 KSA,多数为2022年以前的版本,部分甚至仍在使用2019年版本。
Kim Yongdae 教授表示:“在结构上不安全的系统,即便是小小的失误也可能引发致命的安全事故。现在有必要从强制安装非标准安全软件,转向遵循万维网标准和浏览器安全模型的方向。”
他还表示担忧:“否则,KSA 今后仍将成为国家层面安全威胁的核心。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
![“请多多关照” 近来频频鞠躬九十度走近的他们,一年收入多少 [数据精选]](https://cwcontent.asiae.co.kr/asiaresize/307/2026052010120870131_1779239528.png)
