金融APP现状堪忧 十大安全隐患不容忽视

未央网 作者: 程琦

日前,《移动互联网金融APP信息安全现状白皮书》(简称《白皮书》)在沪正式发布,该报告由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测,上海微令信息科技有限公司校园司令参与,上海淳粹文化传媒有限公司联合撰写。

据中国信息通信研究院安全研究所软件测评部主任戈志勇介绍,该《白皮书》是采用公开、合法的信息,运用相应的科学研究方法,对当前国内互联网金融行业网贷相关的Android移动应用(APP)做出的信息安全分析评判。《白皮书》检测对象的信息安全测试完全针对相应移动互联网金融平台自身对外公开发布的APP程序进行,并对所有抽样平台进行同等测试、科学统计、客观评定,过程无任何主观因素及人为干预。

随着中国互联网消费金融市场的发展、政策试点扩大范围、央行开放征信牌照、从互联网巨头到新兴创业公司都开始布局消费金融。特别是随着移动互联网的普及和推广,移动互联网金融也逐渐成为互联网金融的主要服务模式。

据普华永道的统计数据显示,早在2014年,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿人民币。主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。

移动互联网金融大行其道,各类互联网金融APP挤满了手机应用商店,在2016年第一季度国内APP市场上就已新增超过100家相对稳定运营的互联网金融APP,为用户提供相关产品和服务。移动互联网改变了用户的行为习惯,同时也影响了用户对互联网金融产品和服务的获得手段。

“移动互联网金融作为移动互联网与金融的双重结合,安全要求也具有了双重性,”移动互联网系统与应用安全国家工程实验室高级研究员朱易翔指出,一方面是资金安全,这是金融的底线;另一方面就是移动互联网安全,也就是信息安全。

在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,一个接一个地倒下,其中不乏因问题严重而出现提现困难,甚至跑路的。根据互联网专业平台“网贷之家”的数据统计,自2011年有相关正式记录以来,至2016年6月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为1347个。

目前记录在案的所有出现重大问题的互联网金融平台中,单从互联网金融平台最为兴盛的近三年来看,2014年为254个,占所有出现重大问题平台的18.86%;2015年为746个,占总数的55.38%;2016上半年共出现268个,占总数的19.90%。虽然从上半年的数量上看,2016年似乎呈现出了重大问题平台数量一定的下降趋势,但目前仅仅是半年的统计,而互联网金融平台问题高发主要出现在金融业结算、兑付频率较高的下半年,所以这表面上看似的一点点下降趋势并非真实。

尽管这些名噪一时的互金案件将大众视野都吸引到了金融安全上,但一个更为深层次的安全问题却被公众所忽视,就是移动互联网金融APP自身存在的技术问题。

实际上,移动互联网金融APP的井喷式发展并没有充分考虑对于相关信息安全的保护。在满足了便捷性和功能性的需求后,却在技术开发上显得漏洞百出。据项目团队负责人朱易翔介绍,整个检测过程耗时29天,对样本中的88个互联网金融类移动应用APP进行了深入测试,发现了大量安全问题。我们测试发现,参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。

目前移动金融理财领域的用户规模目前超过8.2亿,在12.8亿的总移动互联网用户中占比超过60%。从用户行为上看,金融理财应用的安装数量和打开数量遥遥领先于餐饮、旅游、出行、医疗等行业,且涉及的财产数量巨大。

“一旦不法分子利用此类APP中存在的安全漏洞进行攻击,轻则盗窃无辜民众财产,重则扰乱金融市场秩序,甚至对国家和社会的安全稳定发展造成极大负面影响。”上海淳粹文化传媒有限公司创始人兼CEO曾国伟表示,“这次发布《白皮书》的目的在于促进移动互联网金融安全生态发展,提高互联网金融企业移动应用安全水平,实现用户和企业共赢。”

“本次检测不对企业数据、用户隐私造成任何破坏,旨在发现应用本身的安全问题,对于存在的安全问题不做深入利用。”上海掌御信息科技有限公司CTO,李卷孺博士表示。“所有安全信息按照企业内部流程处理完成之前不会对外公开。”

根据《白皮书》提供的内容显示,当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:信数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

目前国内大部分为客户提供移动金融服务的APP都缺少规范的安全监管标准和流程,许多APP缺乏对其代码和业务逻辑的充分安全性测试,导致其包含的安全漏洞会将重要的数据信息暴露给黑客,将使用该应用的客户置于风险之中。“在我们测试过程中发现,有些在移动市场比较知名的互联网金融APP甚至存在着很低级的漏洞。”上海掌御信息科技有限公司CTO李卷孺博士介绍。

正常情况下,一名普通用户在普通的网络环境(安全的Wifi网络)下载和安装了上述存在问题的APP,然后通过APP去注册了金融服务的账号,并绑定了手机、注册邮箱和银行卡等个人信息。之后,用户通过该账号发起了金融交易。整个过程均为正常的用户使用流程,然而在这个过程中,黑客存在大量可乘之机,可窃取用户的关键信息并最终完成对用户行为的操作。

《白皮书》指出,在金融APP领域,也亟需从国家、政府层面上推行相关的政策,强制要求APP开发商和运营企业接受安全检测,遵守安全规范,从而进一步推动移动互联网金融安全工作,提高系统安全水平。

“如果能够为APP开发制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类APP安全问题发生的概率。”戈志勇表示,希望通过全面深入的实际测试,总结出一套APP应该遵循的安全规范和测试安全标准,并为后续开发人员提供指导。

专家呼吁,希望能建立独立第三方检测体系,对移动互联网APP进行检测,更需要国民提高金融安全和信息安全意识,要从保证资金安全及个人信息安全角度认真对待移动互联网金融的普及与发展。