88个金融类APP被曝10大隐患 安全漏洞亟待打补丁

张文扬

2016年5月4日，来自移动互联网系统与应用安全国家工程实验室的4人、来自中国信息通信研究院信息产业通信软件评测中心的 3人和来自上海掌御信息科技有限公司的4人，共同组成了一个检测团队。dfr鄂东网|xianzhaiwang.cn

此后的29天时间，这11名资深移动应用安全专家泡在移动互联网系统与应用安全国家工程实验室里，针对互联网金融安全平台“网贷之家”中2015年发展指数前100名的互联网金融公司旗下的Android移动应用进行信息安全评估，并对样本中的88个互联网金融类移动应用APP进行了深入测试，发现了十大隐患。dfr鄂东网|xianzhaiwang.cn

8月19日，这个检测团队对88个互联网金融类移动应用APP的检测结果以《移动互联网金融APP信息安全现状白皮书》（简称《白皮书》）形式正式发布。《白皮书》内容显示，当前国内移动互联网金融APP信息安全存在着以下十大安全隐患：信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。dfr鄂东网|xianzhaiwang.cn

技术漏洞dfr鄂东网|xianzhaiwang.cn

现实问题可能比检测情况更加严重。dfr鄂东网|xianzhaiwang.cn

上海掌御信息科技有限公司CTO李卷孺直接参与了检测的整个过程，他对经济观察报说：“我们选择检测的88个网贷平台属于相对规模较大的。目前国内已知存在的网贷平台有4000多个，其数量远远大于我们的检测数量，很多不成熟的互联网金融网贷APP的开发，采用了通用的技术架构，其技术漏洞可能比我们检测的这一批还要差。”dfr鄂东网|xianzhaiwang.cn

另一位参与评测的内部人员告诉经济观察报，“在我们测试过程中发现，有些在移动市场比较知名的互联网金融APP甚至存在着很低级的漏洞，其中一家还是上市公司。”dfr鄂东网|xianzhaiwang.cn

针对为何只选取88家公布评测结果这个问题，中国信息通信研究院安全研究所软件测评部主任戈志勇对经济观察报说：“我们选的是用户量和活跃度最高的前100家。考虑到企业影响和可能带来的黑客攻击，我们不会公布十大不安全的APP名单。”即便如此，用户依然可以根据《白皮书》名单和2015年百强信贷APP名单进行比对，依此挑选安全性相对较高的网贷APP。dfr鄂东网|xianzhaiwang.cn

在样本系统选取上，为何选择Android系统而非IOS系统，负责白皮书撰写工作的朱易翔表示：“从使用数量上看，在中国，Android用户群多于IOS用户，影响范围会更广泛，更具有代表性；在系统审核上，比起IOS的封闭系统，Android系统相对开放，检测所需时间较短，相对成本低、效率高。”李卷孺则对此做了补充：“从技术层面上讲，Android存在的问题，IOS也可能会存在。IOS系统上的网贷APP相比Android要少，也是我们选择Android的原因之一。”dfr鄂东网|xianzhaiwang.cn

据戈志勇介绍，与传统的安全测试相比，团队讨论提出了基于代码安全、数据存储安全、数据传输安全、网络服务接口安全和多方交互流程安全这五大安全测试内容的新一代测试标准。“测试发现，参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况，并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。”朱易翔说。dfr鄂东网|xianzhaiwang.cn

普通用户在使用金融APP的普通使用流程为：用Wi-Fi下载和安装APP，通过APP注册金融服务账号，绑定手机、注册邮箱和银行卡等个人信息，最后通过注册账号发起金融交易。李卷孺认为，在这个过程中，黑客存在大量可乘之机。他解释道：“特别是在使用不可信的公共Wi-Fi网络环境时，有可能存在恶意黑客进行网络窃听和操控。”dfr鄂东网|xianzhaiwang.cn

李卷孺还进一步阐述了黑客窃取用户信息的一般流程：“黑客可能会恶意伪造Wi-Fi网络并监听数据，从而获得用户名和密码等重要数据或信息，并尝试拦截并篡改数据请求，例如将手机号篡改。人们收到的一切认证信息都来自黑客的转发。在用户毫不知情的情况下，隐私信息或重要数据被窃取了。黑客还有可能进一步进行伪造交易等严重的恶意攻击。”dfr鄂东网|xianzhaiwang.cn

安全底线dfr鄂东网|xianzhaiwang.cn

针对检测团队对88个互联网金融类移动应用APP的检测发现的十大安全隐患，《白皮书》指出，构建权威性的安全标准、政策推动、构建企业广泛参与的安全生态、提高国民信息安全意识等都成为实现网贷信息安全的重点。dfr鄂东网|xianzhaiwang.cn

针对《白皮书》的检测结果，李卷孺说：“本次检测不对企业数据、用户隐私造成任何破坏，旨在发现应用本身的安全问题，对于存在的安全问题不做深度利用。”dfr鄂东网|xianzhaiwang.cn

朱易翔则表示：“通过这个测试，我们想把结果传达给两个群体，一个是重视发展而忽视安全维护的金融企业，另一个是金融APP的使用用户。我们想在这个领域拉响警报。同时，未来也会涉及生活、社交APP的信息安全领域。”dfr鄂东网|xianzhaiwang.cn

中国信息通信研究院安全研究所软件测评部主任戈志勇说，“如果能够为APP开发制定一套详细的安全规范和测试安全标准，必将有效地降低金融以及其它类APP安全问题发生的概率。希望通过全面深入的实际测试，总结出一套APP应该遵循的安全规范和测试安全标准，并为后续开发人员提供指导。”dfr鄂东网|xianzhaiwang.cn

国家计算机病毒防御工程实验室研究室负责人、国家漏洞库首批特聘专家魏强表示，“信息安全问题现在已经客观存在，这是直接关乎人民财产安全的事。在发生问题之前或问题大规模浮出水面之前，能够防患于未然，这是《白皮书》的目的。”《白皮书》由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测，上海微令信息科技有限公司校园司令参与，上海淳粹文化传媒有限公司联合撰写并独家发布。“一旦不法分子利用此类APP中存在的安全漏洞进行攻击，轻则盗窃无辜民众的财产，重则扰乱金融市场秩序，甚至对国家和社会的安全稳定发展造成极大负面影响。”上海淳粹文化传媒有限公司创始人兼CEO曾国伟表示，“这次发布《白皮书》的目的在于促进移动互联网金融安全生态发展，提高互联网金融企业移动应用安全水平，实现用户和企业共赢。”dfr鄂东网|xianzhaiwang.cn

据《白皮书》统计，近三年来，目前记录在案的所有出现重大问题的互联网金融平台统计如下：2014年为254个，占所有出现重大问题平台的18.86%；2015年为746个，占总数的55.38%；2016上半年共出现268个，占总数的19.90%。《白皮书》指出，虽然2016年似乎呈现出下降趋势，但互联网金融平台问题高发时间段主要在金融业结算、兑付频率较高的下半年，所以这表面上看似的“一点点下降趋势”并非真实。

88个金融类APP被曝10大隐患 安全漏洞亟待打补丁

文章地址: http://news.xianzhaiwang.cn/toutiao/365572.html