/ 中存储网

《移动互联网金融APP信息安全现状白皮书》发布

2016-08-22 15:53:06 来源:经济观察报

2016年5月4日,来自移动互联网系统与应用安全国家工程实验室的4人、来自中国信息通信研究院信息产业通信软件评测中心的3人和来自上海掌御信息科技有限公司的4人,共同组成了一个检测团队。

此后的29天时间,这11名资深移动应用安全专家泡在移动互联网系统与应用安全国家工程实验室里,针对互联网金融安全平台“网贷之家”中2015年发展指数前100名的互联网金融公司旗下的Android移动应用进行信息安全评估,并对样本中的88个互联网金融类移动应用APP进行了深入测试,发现了十大隐患。

8月19日,这个检测团队对88个互联网金融类移动应用APP的检测结果以《移动互联网金融APP信息安全现状白皮书》(简称《白皮书》)形式正式发布。《白皮书》内容显示,当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

技术漏洞

现实问题可能比检测情况更加严重。

上海掌御信息科技有限公司CTO李卷孺直接参与了检测的整个过程,他对经济观察报说:“我们选择检测的88个网贷平台属于相对规模较大的。目前国内已知存在的网贷平台有4000多个,其数量远远大于我们的检测数量,很多不成熟的互联网金融网贷APP的开发,采用了通用的技术架构,其技术漏洞可能比我们检测的这一批还要差。”

另一位参与评测的内部人员告诉经济观察报,“在我们测试过程中发现,有些在移动市场比较知名的互联网金融APP甚至存在着很低级的漏洞,其中一家还是上市公司。”

针对为何只选取88家公布评测结果这个问题,中国信息通信研究院安全研究所软件测评部主任戈志勇对经济观察报说:“我们选的是用户量和活跃度最高的前100家。考虑到企业影响和可能带来的黑客攻击,我们不会公布十大不安全的APP名单。”即便如此,用户依然可以根据《白皮书》名单和2015年百强信贷APP名单进行比对,依此挑选安全性相对较高的网贷APP。

在样本系统选取上,为何选择Android系统而非IOS系统,负责白皮书撰写工作的朱易翔表示:“从使用数量上看,在中国,Android用户群多于IOS用户,影响范围会更广泛,更具有代表性;在系统审核上,比起IOS的封闭系统,Android系统相对开放,检测所需时间较短,相对成本低、效率高。”李卷孺则对此做了补充:“从技术层面上讲,Android存在的问题,IOS也可能会存在。IOS系统上的网贷APP相比Android要少,也是我们选择Android的原因之一。”

据戈志勇介绍,与传统的安全测试相比,团队讨论提出了基于代码安全、数据存储安全、数据传输安全、网络服务接口安全和多方交互流程安全这五大安全测试内容的新一代测试标准。“测试发现,参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。”朱易翔说。

普通用户在使用金融APP的普通使用流程为:用Wi-Fi下载和安装APP,通过APP注册金融服务账号,绑定手机、注册邮箱和银行卡等个人信息,最后通过注册账号发起金融交易。李卷孺认为,在这个过程中,黑客存在大量可乘之机。他解释道:“特别是在使用不可信的公共Wi-Fi网络环境时,有可能存在恶意黑客进行网络窃听和操控。”

李卷孺还进一步阐述了黑客窃取用户信息的一般流程:“黑客可能会恶意伪造Wi-Fi网络并监听数据,从而获得用户名和密码等重要数据或信息,并尝试拦截并篡改数据请求,例如将手机号篡改。人们收到的一切认证信息都来自黑客的转发。在用户毫不知情的情况下,隐私信息或重要数据被窃取了。黑客还有可能进一步进行伪造交易等严重的恶意攻击。”