金融类APP被曝10大隐患安全问题不容忽视

互联网+ 东东零壹财经 2016-08-22 阅读：3615

关键词：APP 互联网金融

目前为止，国家与APP相关的法律法规还不甚完善，只是对APP的传播内容作出了规定和限制，而对APP的安全性方面还没有提及。

近日，中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司联合发布《移动互联网金融APP信息安全现状白皮书》（下文简称为“白皮书”）。

白皮书指出当前国内移动互联网金融APP信息安全存在着十大安全隐患：信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

据白皮书统计，近三年来，目前记录在案的所有出现重大问题的互联网金融平台统计如下：2014年为254个，占所有出现重大问题平台的18.86%；2015年为746个，占总数的55.38%；2016上半年共出现268个，占总数的19.90%。白皮书指出，虽然2016年似乎呈现出下降趋势，但互联网金融平台问题高发时间段主要在金融业结算、兑付频率较高的下半年，所以这表面上看似的“一点点下降趋势”并非真实。

白皮书中对目前市场上88种互联网金融APP进行了测试，其中不乏、、等大平台的身影。白皮书对APP的安全程度的检测主要体现在以下几个方面：

本地数据安全（敏感数据不得存放于外部储存器、私有目录数据正确设置权限、敏感数据不能以明文存储在私有目录。）
数据传输方法和实现（不能使用HTTP明文进行数据通信、使用HTTPS则需要验证证书以及绑定证书、自定义协议需要有完善的密钥交换协议）
服务器安全（服务器应当能够抵御常见的安全威胁）
多方交易安全（客户端信息安全、身份验证机制完整安全、信息提示完整）
代码保护（完整性、防逆向分析、防进程注入）

白皮书中表示，目前互联网金融类APP的整体信息安全性并不高，每个APP都存在不同程度的信息安全问题。其遍存在的问题集中在加密算法的误用、网络传输保护不足、应用程序缺乏保护措施、本地文件及系统日志敏感信息泄漏等几个方面。除此之外，个别APP还存在组件暴露漏洞、可数据备份漏洞、Webview远程执行漏洞、拒绝服务攻击漏洞、网络接口攻击漏洞等等其他安全问题。

由此可见，移动互联网金融APP的安全性严重不足，急需增强安全保护措施。

白皮书认为，面对目前互联网金融APP安全性严重不足的现状，我们可以通过构建权威性的安全标准、政策推动APP安全监测、构建企业广泛参与的安全生态、向国民普及安全知识等方法来解决这个问题。

目前为止，国家与APP相关的法律法规还不甚完善，只是对APP的传播内容作出了规定和限制，而对APP的安全性方面还没有提及。2015年底，工业和信息化部曾对《移动智能终端应用软件（APP）预置和分发管理暂行规定》公开征求意见，规定要求智能手机应用程序内置和上架分发前进行安全测试，并组织第三方评估和抽查。

相关阅读
网络安全初创企业SafeBreach获1500万美元A轮融资拟打造最完美防御系统
巴克莱与三星合作共同研发手机银行安全技术

专题推荐：金融毛细血管

零壹智库推出“金融毛细血管系列策划”，通过系列文章、系列视频、系列报告、系列研讨会和专著，系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。