PSD2、開放銀行與第三方軟體的資安隱患Philippe Lin (@miaoski)Forward-looking Threat Research

你安裝了一個 FinTech App ...

你放⼼和銀⾏以外的公司分享2年的帳戶明細嗎?

如果你是銀行…

你放心讓 FinTech 公司使用存戶的帳號密碼登入

存取帳戶明細嗎?

如果你是 FinTech 新創…

準備好使用以下協定了嗎?OAuth, mTLS, Token Binding, PKCE, ...

PSD2 (Revised Payment Service Directive)• 2015年10⽉通過• 2019年9⽉14⽇實施• 加速線上⽀付 / ⾏動⽀付在歐盟的創新

• 強制銀⾏提供 open banking API 給客戶選擇的 FinTech 公司• 強制銀⾏提供 MFA ，三選⼆：知識 / 所有物 / 與⽣俱來• ⽤同⼀個 app 就可以查到每個銀⾏的存款/貸款餘額，⽅便理財規

劃• FinTech 最多可以存取過去⼆年的資料

全世界的「開放銀行」

• 歐洲 – PSD2 在 2019.9.14 實施• 美國 – 沒有規定，但 FS-ISAC 有公佈標準• 澳洲 – 2020年會立法規定• 亞洲 – 各國有不同規定• 台灣 – 「自律自願」 金管會 / 財金公司

1. Product API 已於 2019/9 上線2. Account API3. Payment API

信任 vs. 安全

Open Banking 之前

Open Banking 以後

Open Banking 的安全措施

• PSD2– 2FA– Dynamic linking (把 OTP 和受款⼈ / ⾦額串在⼀起)

• OAuth è 並不普及!• 英國主打的⾦融級API (FAPI) è 已經有漏洞了

不斷增加的銀行 API …

Open Banking 的風險

• API• 早該淘汰的舊技術• 新的協定帶來新的資安⾵險• 複雜的協定在實作上會有漏洞• 客戶資料受到惡意使⽤ (如: 賣掉交易資料)• 詐騙偵測變得更困難

⾄少，API 不能洩漏機敏資料吧...?

歐洲某銀行

亞洲某銀行

歐洲某央行

URL 上有這些機敏資料…

密碼

IMEI 編號

client secret

OAuth token

經緯度

帳號

OAuth secret email 地址

為什麼不應該放在 URL

• 防毒軟體看得到• 瀏覽器 Plugin 看得到• 存在瀏覽紀錄中• 存在伺服器的 access log 中• 存在 proxy log 中• 瀏覽器同步功能• 可以被竄改

è這些問題很容易修正

早該淘汰的舊技術

• Open Financial Exchange (OFX)• Screen scraping / Direct access

Open Financial Exchange (OFX)

• 1997 由微軟、Intuit、CheckFree 開發• 沒有真正的 MFA• 最新版有 OAuth 但是沒⼈⽤• 美國很多銀⾏還在使⽤

ß 79%

ß 21%

Screen scraping

• 在 Open Banking 之前，使⽤存戶的帳號密碼幫你登⼊• 爬 HTML• 好聽的名字叫 “direct access”• 銀⾏⼀改版就 GG• FinTech 說「⽬前沒有洩密的例⼦」• 有些 FinTech 就是不想改⽤ OAuth

英國主推的 金融級API (FAPI)

• FAPI 希望在⾼⾵險環境下保持安全• 2017年由英國的銀⾏和 OpenID 開發• Daniel Fett et al. (2019) 發現漏洞• PSD2 實施前還沒修好• 不過反正脫歐了...

FAPI =

OAuth2.0 + 其它模組

FAPI = OAuth 2.0 ++ mutual TLS (mTLS)+ OAuth token binding (可能不會做)+ JWS Client Assertion+ Proof Key for Code Exchange (PKCE)

釣到 OAuth Token 的方法，請參考https://sector.ca/sessions/oauth-everything-you-wanted-to-know-but-not-really/

給銀行的建議

• 重新檢視(傳統)API• 修正/廢⽌ URL 上帶有機敏資料的 API• 淘汰 OFX server• 考察英國的 FAPI• 採⽤零信任模型• 請客戶留意新型態的釣⿂⼿法

給 FinTech 的建議

• 重新檢視(傳統)API• 修正/廢⽌ URL 上帶有機敏資料的 API• 不要再⽤ “screen scraping”，改⽤ OAuth 吧!• 考察英國的 FAPI• 改善安全協定的實作⽅法• 像壞⼈⼀樣思考• 和客戶說資安很重要

給存戶的建議

• FinTech 公司可能會提供新的⾦融服務• 不過，看清楚他們從你⾝上搜集了什麼資料• 隱私權條款、第三⽅服務者、⾏銷條款通常印得超級⼩，

但你還是要看清楚再同意• ⼩⼼新的釣⿂⼿法• 學會必要時該怎麼撤銷給 FinTech 的授權

3. https://media.ccc.de/v/36c3-10717-was_hat_die_psd2_je_fur_uns_getan

1. 2.

參考資料• Daniel Fett et al (2019). 2019 IEEE Computer Society. “An extensive

formal security analysis of the OpenID Financial-grade API.” -https://arxiv.org/abs/1901.11520

• Laura Noonan (2020), Financial Times, “JPMorgan to ban fintech apps from using customer passwords”. https://www.ft.com/

• Julian Bajkowski (2020), itnews.com.au, “CBA's Comyn wants screen scrapers scrubbed from Consumer Data Right”. https://www.itnews.com.au

• Feike Hacquebord et al (2019). “Ready or Not for PSD2. The risks of Open Banking”. https://www.trendmicro.com/

參考資料 (台灣部份)• http://openbanking.org.tw/domestic_%20process• https://www.ithome.com.tw/news/133684• https://www.bankchb.com/chb_2a_resource/leap_do/gallery/1546501

694855/6712(%E5%B0%88%E9%A1%8C%E8%AD%AF%E8%BF%B0).pdf• https://buzzorange.com/techorange/2019/08/12/open-banking-taiwan/

Thank You