88个金融类App曝10大隐患 漏洞亟待打补丁

未央网 作者: 张文扬

2016年5月4日,来自移动互联网系统与应用安全国家工程实验室的4人、来自中国信息通信研究院信息产业通信软件评测中心的 3人和来自上海掌御信息科技有限公司的4人,共同组成了一个检测团队。

此后的29天时间,这11名资深移动应用安全专家泡在移动互联网系统与应用安全国家工程实验室里,针对互联网金融安全平台“网贷之家”中2015年发展指数前100名的互联网金融公司旗下的Android移动应用进行信息安全评估,并对样本中的88个互联网金融类移动应用App进行了深入测试,发现了十大隐患。

8月19日,这个检测团队对88个互联网金融类移动应用App的检测结果以《移动互联网金融App信息安全现状白皮书》(简称《白皮书》)形式正式发布。《白皮书》内容显示,当前国内移动互联网金融App信息安全存在着以下十大安全隐患:信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

技术漏洞

现实问题可能比检测情况更加严重。

上海掌御信息科技有限公司CTO李卷孺直接参与了检测的整个过程,他对经济观察报说:“我们选择检测的88个网贷平台属于相对规模较大的。目前国内已知存在的网贷平台有4000多个,其数量远远大于我们的检测数量,很多不成熟的互联网金融网贷App的开发,采用了通用的技术架构,其技术漏洞可能比我们检测的这一批还要差。”

另一位参与评测的内部人员告诉经济观察报,“在我们测试过程中发现,有些在移动市场比较知名的互联网金融App甚至存在着很低级的漏洞,其中一家还是上市公司。”

针对为何只选取88家公布评测结果这个问题,中国信息通信研究院安全研究所软件测评部主任戈志勇对经济观察报说:“我们选的是用户量和活跃度最高的前100家。考虑到企业影响和可能带来的黑客攻击,我们不会公布十大不安全的App名单。”即便如此,用户依然可以根据《白皮书》名单和2015年百强信贷App名单进行比对,依此挑选安全性相对较高的网贷App。

在样本系统选取上,为何选择Android系统而非IOS系统,负责白皮书撰写工作的朱易翔表示:“从使用数量上看,在中国,Android用户群多于IOS用户,影响范围会更广泛,更具有代表性;在系统审核上,比起IOS的封闭系统,Android系统相对开放,检测所需时间较短,相对成本低、效率高。”李卷孺则对此做了补充:“从技术层面上讲,Android存在的问题,IOS也可能会存在。IOS系统上的网贷App相比Android要少,也是我们选择Android的原因之一。”

据戈志勇介绍,与传统的安全测试相比,团队讨论提出了基于代码安全、数据存储安全、数据传输安全、网络服务接口安全和多方交互流程安全这五大安全测试内容的新一代测试标准。“测试发现,参与测试的大部分App均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。”朱易翔说。

普通用户在使用金融App的普通使用流程为:用Wi-Fi下载和安装App,通过App注册金融服务账号,绑定手机、注册邮箱和银行卡等个人信息,最后通过注册账号发起金融交易。李卷孺认为,在这个过程中,黑客存在大量可乘之机。他解释道:“特别是在使用不可信的公共Wi-Fi网络环境时,有可能存在恶意黑客进行网络窃听和操控。”

李卷孺还进一步阐述了黑客窃取用户信息的一般流程:“黑客可能会恶意伪造Wi-Fi网络并监听数据,从而获得用户名和密码等重要数据或信息,并尝试拦截并篡改数据请求,例如将手机号篡改。人们收到的一切认证信息都来自黑客的转发。在用户毫不知情的情况下,隐私信息或重要数据被窃取了。黑客还有可能进一步进行伪造交易等严重的恶意攻击。”

安全底线

针对检测团队对88个互联网金融类移动应用App的检测发现的十大安全隐患,《白皮书》指出,构建权威性的安全标准、政策推动、构建企业广泛参与的安全生态、提高国民信息安全意识等都成为实现网贷信息安全的重点。

针对《白皮书》的检测结果,李卷孺说:“本次检测不对企业数据、用户隐私造成任何破坏,旨在发现应用本身的安全问题,对于存在的安全问题不做深度利用。”

朱易翔则表示:“通过这个测试,我们想把结果传达给两个群体,一个是重视发展而忽视安全维护的金融企业,另一个是金融App的使用用户。我们想在这个领域拉响警报。同时,未来也会涉及生活、社交App的信息安全领域。”

中国信息通信研究院安全研究所软件测评部主任戈志勇说,“如果能够为App开发制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类App安全问题发生的概率。希望通过全面深入的实际测试,总结出一套App应该遵循的安全规范和测试安全标准,并为后续开发人员提供指导。”

国家计算机病毒防御工程实验室研究室负责人、国家漏洞库首批特聘专家魏强表示,“信息安全问题现在已经客观存在,这是直接关乎人民财产安全的事。在发生问题之前或问题大规模浮出水面之前,能够防患于未然,这是《白皮书》的目的。”《白皮书》由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测,上海微令信息科技有限公司校园司令参与,上海淳粹文化传媒有限公司联合撰写并独家发布。“一旦不法分子利用此类App中存在的安全漏洞进行攻击,轻则盗窃无辜民众的财产,重则扰乱金融市场秩序,甚至对国家和社会的安全稳定发展造成极大负面影响。”上海淳粹文化传媒有限公司创始人兼CEO曾国伟表示,“这次发布《白皮书》的目的在于促进移动互联网金融安全生态发展,提高互联网金融企业移动应用安全水平,实现用户和企业共赢。”

据《白皮书》统计,近三年来,目前记录在案的所有出现重大问题的互联网金融平台统计如下:2014年为254个,占所有出现重大问题平台的18.86%;2015年为746个,占总数的55.38%;2016上半年共出现268个,占总数的19.90%。《白皮书》指出,虽然2016年似乎呈现出下降趋势,但互联网金融平台问题高发时间段主要在金融业结算、兑付频率较高的下半年,所以这表面上看似的“一点点下降趋势”并非真实。

2015年开始,网贷平台的问题逐渐浮出水面。从e租宝、校园贷的丑闻,到大学生网贷引发的“裸条”事件;从提现困难、开发商跑路,升级到经侦介入。这些案件将大众视野吸引到了金融安全问题的同时,一个更深层次的安全问题却被忽略了。中国信息通信研究院安全研究所副所长王勇认为,人们对于互联网金融的关注点很多,包括风控、资产安全、资产流程安全,但没有一家去关注互联网金融网贷的App本身是否安全。

移动互联网系统与应用安全国家工程实验室高级研究员朱易翔表示,“移动互联网金融作为移动互联网与金融的双重结合,其安全要求也具有了双重性,一方面是资金安全,这是金融的底线;另一方面就是移动互联网安全,也就是信息安全。”

亟待修复

记者打开手机客户端,在手机商店搜索栏输入“金融”、“理财”等字样,“大麦理财”、“PP理财”、“铜掌柜理财”、“开鑫贷”等琳琅满目的金融信贷类App占据了手机屏幕。中国电信股份有限公司上海研究院副院长张明杰认为,“随着中国互联网消费金融市场的发展、政策试点扩大范围、央行开放征信牌照、从互联网巨头到新兴创业公司都开始布局消费金融,这是发展趋势”。

麦肯锡公司在其发布的《中国银行(601988,股吧)业创新系列报告》中称:2015年底,中国互联网金融的市场规模达到12-15万亿元,占GDP的近20%,互联网金融用户人数也超过5亿成为世界第一。数亿的用户基数,使得移动互联网金融产品信息安全问题被提升到社会问题的高度。

根据互联网专业平台“网贷之家”的数据统计,仅2016年第一季度,国内App市场上就已新增超过100家相对稳定运营的互联网金融App,为用户提供相关产品和服务。而早在2014年,普华永道便有统计数据显示,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿人民币。主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。

中国第三方移动数据服务平台TalkingData发布的《2015年移动互联网年度盘点》报告显示,移动金融理财领域的用户规模目前超过8.2亿,这在中国12.8亿的总移动互联网用户中占比超过60%,渗透率还在持续升高。报告提出,从用户行为上看,金融理财应用的安装数量和打开数量遥遥领先于餐饮、旅游、出行、医疗等行业,且涉及的财产数量巨大。

中国信息通信研究院安全研究所副所长王勇说,“App安全特别是金融类App的安全,是国家、开发商、用户三方面共同的需求。”

《移动互联网金融App信息安全现状白皮书》指出,在金融App领域,也亟需从国家、政府层面上推行相关的政策,强制要求App开发商和运营企业接受安全检测,遵守安全规范,从而进一步推动移动互联网金融安全工作,提高系统安全水平。

对于目前互联网金融类信贷App的信息安全现状,上海掌御信息科技有限公司CTO李卷孺表达了自己的担忧,“互联网金融类信贷App目前大多处于非常不安全的状态。App的安全系数并不与开发商企业规模呈正相关,开发厂商的安全意识和重视程度很关键。”目前国外著名的 IT企业包括 Google、Facebook、Twitter、苹果、Paypal等都有安全奖励计划,鼓励安全咨询企业帮助修复安全漏洞。

2015年底,工业和信息化部对《移动智能终端应用软件(App)预置和分发管理暂行规定》公开征求意见,并将于年内正式发布实施,以规范App预置和分发,要求智能手机应用程序内置和上架分发前进行安全测试,并组织第三方评估和抽查,而且相关的国家实验室和研究院都参与到其中。