2016年5月4日,來自移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室的4人、來自中國信息通信研究院信息產(chǎn)業(yè)通信軟件評測中心的 3人和來自上海掌御信息科技有限公司的4人,共同組成了一個檢測團(tuán)隊。
此后的29天時間,這11名資深移動應(yīng)用安全專家泡在移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室里,針對互聯(lián)網(wǎng)金融安全平臺“網(wǎng)貸之家”中2015年發(fā)展指數(shù)前100名的互聯(lián)網(wǎng)金融公司旗下的Android移動應(yīng)用進(jìn)行信息安全評估,并對樣本中的88個互聯(lián)網(wǎng)金融類移動應(yīng)用APP進(jìn)行了深入測試,發(fā)現(xiàn)了十大隱患。
8月19日,這個檢測團(tuán)隊對88個互聯(lián)網(wǎng)金融類移動應(yīng)用APP的檢測結(jié)果以《移動互聯(lián)網(wǎng)金融APP信息安全現(xiàn)狀白皮書》(簡稱《白皮書》)形式正式發(fā)布?!栋灼穬?nèi)容顯示,當(dāng)前國內(nèi)移動互聯(lián)網(wǎng)金融APP信息安全存在著以下十大安全隱患:信息數(shù)據(jù)明文發(fā)送、通信數(shù)據(jù)可解密、敏感數(shù)據(jù)本地可破解、調(diào)試信息泄漏、敏感信息泄漏、密碼學(xué)誤用、功能泄露、可二次打包、可調(diào)試、代碼可逆向等。
技術(shù)漏洞
現(xiàn)實問題可能比檢測情況更加嚴(yán)重。
上海掌御信息科技有限公司CTO李卷孺直接參與了檢測的整個過程,他對經(jīng)濟(jì)觀察報說:“我們選擇檢測的88個網(wǎng)貸平臺屬于相對規(guī)模較大的。目前國內(nèi)已知存在的網(wǎng)貸平臺有4000多個,其數(shù)量遠(yuǎn)遠(yuǎn)大于我們的檢測數(shù)量,很多不成熟的互聯(lián)網(wǎng)金融網(wǎng)貸APP的開發(fā),采用了通用的技術(shù)架構(gòu),其技術(shù)漏洞可能比我們檢測的這一批還要差。”
另一位參與評測的內(nèi)部人員告訴經(jīng)濟(jì)觀察報,“在我們測試過程中發(fā)現(xiàn),有些在移動市場比較知名的互聯(lián)網(wǎng)金融APP甚至存在著很低級的漏洞,其中一家還是上市公司?!?/p>
針對為何只選取88家公布評測結(jié)果這個問題,中國信息通信研究院安全研究所軟件測評部主任戈志勇對經(jīng)濟(jì)觀察報說:“我們選的是用戶量和活躍度最高的前100家。考慮到企業(yè)影響和可能帶來的黑客攻擊,我們不會公布十大不安全的APP名單?!奔幢闳绱耍脩粢廊豢梢愿鶕?jù)《白皮書》名單和2015年百強(qiáng)信貸APP名單進(jìn)行比對,依此挑選安全性相對較高的網(wǎng)貸APP。
在樣本系統(tǒng)選取上,為何選擇Android系統(tǒng)而非IOS系統(tǒng),負(fù)責(zé)白皮書撰寫工作的朱易翔表示:“從使用數(shù)量上看,在中國,Android用戶群多于IOS用戶,影響范圍會更廣泛,更具有代表性;在系統(tǒng)審核上,比起IOS的封閉系統(tǒng),Android系統(tǒng)相對開放,檢測所需時間較短,相對成本低、效率高?!崩罹砣鎰t對此做了補(bǔ)充:“從技術(shù)層面上講,Android存在的問題,IOS也可能會存在。IOS系統(tǒng)上的網(wǎng)貸APP相比Android要少,也是我們選擇Android的原因之一?!?/p>
據(jù)戈志勇介紹,與傳統(tǒng)的安全測試相比,團(tuán)隊討論提出了基于代碼安全、數(shù)據(jù)存儲安全、數(shù)據(jù)傳輸安全、網(wǎng)絡(luò)服務(wù)接口安全和多方交互流程安全這五大安全測試內(nèi)容的新一代測試標(biāo)準(zhǔn)?!皽y試發(fā)現(xiàn),參與測試的大部分APP均存在加密算法誤用、加密協(xié)議實現(xiàn)不正確、不完整的情況,并且在保護(hù)用戶的交易信息、防止交易被篡改、防止用戶身份被盜用方面表現(xiàn)不佳?!敝煲紫枵f。
普通用戶在使用金融APP的普通使用流程為:用Wi-Fi下載和安裝APP,通過APP注冊金融服務(wù)賬號,綁定手機(jī)、注冊郵箱和銀行卡等個人信息,最后通過注冊賬號發(fā)起金融交易。李卷孺認(rèn)為,在這個過程中,黑客存在大量可乘之機(jī)。他解釋道:“特別是在使用不可信的公共Wi-Fi網(wǎng)絡(luò)環(huán)境時,有可能存在惡意黑客進(jìn)行網(wǎng)絡(luò)竊聽和操控?!?/p>
李卷孺還進(jìn)一步闡述了黑客竊取用戶信息的一般流程:“黑客可能會惡意偽造Wi-Fi網(wǎng)絡(luò)并監(jiān)聽數(shù)據(jù),從而獲得用戶名和密碼等重要數(shù)據(jù)或信息,并嘗試攔截并篡改數(shù)據(jù)請求,例如將手機(jī)號篡改。人們收到的一切認(rèn)證信息都來自黑客的轉(zhuǎn)發(fā)。在用戶毫不知情的情況下,隱私信息或重要數(shù)據(jù)被竊取了。黑客還有可能進(jìn)一步進(jìn)行偽造交易等嚴(yán)重的惡意攻擊?!?/p>
安全底線
針對檢測團(tuán)隊對88個互聯(lián)網(wǎng)金融類移動應(yīng)用APP的檢測發(fā)現(xiàn)的十大安全隱患,《白皮書》指出,構(gòu)建權(quán)威性的安全標(biāo)準(zhǔn)、政策推動、構(gòu)建企業(yè)廣泛參與的安全生態(tài)、提高國民信息安全意識等都成為實現(xiàn)網(wǎng)貸信息安全的重點。
針對《白皮書》的檢測結(jié)果,李卷孺說:“本次檢測不對企業(yè)數(shù)據(jù)、用戶隱私造成任何破壞,旨在發(fā)現(xiàn)應(yīng)用本身的安全問題,對于存在的安全問題不做深度利用。”
朱易翔則表示:“通過這個測試,我們想把結(jié)果傳達(dá)給兩個群體,一個是重視發(fā)展而忽視安全維護(hù)的金融企業(yè),另一個是金融APP的使用用戶。我們想在這個領(lǐng)域拉響警報。同時,未來也會涉及生活、社交APP的信息安全領(lǐng)域?!?/p>
中國信息通信研究院安全研究所軟件測評部主任戈志勇說,“如果能夠為APP開發(fā)制定一套詳細(xì)的安全規(guī)范和測試安全標(biāo)準(zhǔn),必將有效地降低金融以及其它類APP安全問題發(fā)生的概率。希望通過全面深入的實際測試,總結(jié)出一套APP應(yīng)該遵循的安全規(guī)范和測試安全標(biāo)準(zhǔn),并為后續(xù)開發(fā)人員提供指導(dǎo)。”
國家計算機(jī)病毒防御工程實驗室研究室負(fù)責(zé)人、國家漏洞庫首批特聘專家魏強(qiáng)表示,“信息安全問題現(xiàn)在已經(jīng)客觀存在,這是直接關(guān)乎人民財產(chǎn)安全的事。在發(fā)生問題之前或問題大規(guī)模浮出水面之前,能夠防患于未然,這是《白皮書》的目的。”《白皮書》由中國信息通信研究院信息產(chǎn)業(yè)通信軟件評測中心、移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室和上海掌御信息科技有限公司等3家單位完成檢測,上海微令信息科技有限公司校園司令參與,上海淳粹文化傳媒有限公司聯(lián)合撰寫并獨家發(fā)布。“一旦不法分子利用此類APP中存在的安全漏洞進(jìn)行攻擊,輕則盜竊無辜民眾的財產(chǎn),重則擾亂金融市場秩序,甚至對國家和社會的安全穩(wěn)定發(fā)展造成極大負(fù)面影響?!鄙虾4敬馕幕瘋髅接邢薰緞?chuàng)始人兼CEO曾國偉表示,“這次發(fā)布《白皮書》的目的在于促進(jìn)移動互聯(lián)網(wǎng)金融安全生態(tài)發(fā)展,提高互聯(lián)網(wǎng)金融企業(yè)移動應(yīng)用安全水平,實現(xiàn)用戶和企業(yè)共贏?!?/p>
據(jù)《白皮書》統(tǒng)計,近三年來,目前記錄在案的所有出現(xiàn)重大問題的互聯(lián)網(wǎng)金融平臺統(tǒng)計如下:2014年為254個,占所有出現(xiàn)重大問題平臺的18.86%;2015年為746個,占總數(shù)的55.38%;2016上半年共出現(xiàn)268個,占總數(shù)的19.90%?!栋灼分赋觯m然2016年似乎呈現(xiàn)出下降趨勢,但互聯(lián)網(wǎng)金融平臺問題高發(fā)時間段主要在金融業(yè)結(jié)算、兌付頻率較高的下半年,所以這表面上看似的“一點點下降趨勢”并非真實。
2015年開始,網(wǎng)貸平臺的問題逐漸浮出水面。從e租寶、校園貸的丑聞,到大學(xué)生網(wǎng)貸引發(fā)的“裸條”事件;從提現(xiàn)困難、開發(fā)商跑路,升級到經(jīng)偵介入。這些案件將大眾視野吸引到了金融安全問題的同時,一個更深層次的安全問題卻被忽略了。中國信息通信研究院安全研究所副所長王勇認(rèn)為,人們對于互聯(lián)網(wǎng)金融的關(guān)注點很多,包括風(fēng)控、資產(chǎn)安全、資產(chǎn)流程安全,但沒有一家去關(guān)注互聯(lián)網(wǎng)金融網(wǎng)貸的APP本身是否安全。
移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室高級研究員朱易翔表示,“移動互聯(lián)網(wǎng)金融作為移動互聯(lián)網(wǎng)與金融的雙重結(jié)合,其安全要求也具有了雙重性,一方面是資金安全,這是金融的底線;另一方面就是移動互聯(lián)網(wǎng)安全,也就是信息安全?!?/p>
亟待修復(fù)
記者打開手機(jī)客戶端,在手機(jī)商店搜索欄輸入“金融”、“理財”等字樣,“大麥理財”、“PP理財”、“銅掌柜理財”、“開鑫貸”等琳瑯滿目的金融信貸類App占據(jù)了手機(jī)屏幕。中國電信股份有限公司上海研究院副院長張明杰認(rèn)為,“隨著中國互聯(lián)網(wǎng)消費金融市場的發(fā)展、政策試點擴(kuò)大范圍、央行開放征信牌照、從互聯(lián)網(wǎng)巨頭到新興創(chuàng)業(yè)公司都開始布局消費金融,這是發(fā)展趨勢”。
麥肯錫公司在其發(fā)布的《中國銀行業(yè)創(chuàng)新系列報告》中稱:2015年底,中國互聯(lián)網(wǎng)金融的市場規(guī)模達(dá)到12-15萬億元,占GDP的近20%,互聯(lián)網(wǎng)金融用戶人數(shù)也超過5億成為世界第一。數(shù)億的用戶基數(shù),使得移動互聯(lián)網(wǎng)金融產(chǎn)品信息安全問題被提升到社會問題的高度。
根據(jù)互聯(lián)網(wǎng)專業(yè)平臺“網(wǎng)貸之家”的數(shù)據(jù)統(tǒng)計,僅2016年第一季度,國內(nèi)APP市場上就已新增超過100家相對穩(wěn)定運營的互聯(lián)網(wǎng)金融APP,為用戶提供相關(guān)產(chǎn)品和服務(wù)。而早在2014年,普華永道便有統(tǒng)計數(shù)據(jù)顯示,中國移動互聯(lián)網(wǎng)金融呈現(xiàn)爆發(fā)式增長,全年交易額超過20萬億人民幣。主要的互聯(lián)網(wǎng)金融模式包括第三方支付、在線理財、P2P網(wǎng)貸、直銷銀行、互聯(lián)網(wǎng)保險及互聯(lián)網(wǎng)眾籌等。
中國第三方移動數(shù)據(jù)服務(wù)平臺TalkingData發(fā)布的《2015年移動互聯(lián)網(wǎng)年度盤點》報告顯示,移動金融理財領(lǐng)域的用戶規(guī)模目前超過8.2億,這在中國12.8億的總移動互聯(lián)網(wǎng)用戶中占比超過60%,滲透率還在持續(xù)升高。報告提出,從用戶行為上看,金融理財應(yīng)用的安裝數(shù)量和打開數(shù)量遙遙領(lǐng)先于餐飲、旅游、出行、醫(yī)療等行業(yè),且涉及的財產(chǎn)數(shù)量巨大。
中國信息通信研究院安全研究所副所長王勇說,“APP安全特別是金融類APP的安全,是國家、開發(fā)商、用戶三方面共同的需求?!?/p>
《移動互聯(lián)網(wǎng)金融APP信息安全現(xiàn)狀白皮書》指出,在金融APP領(lǐng)域,也亟需從國家、政府層面上推行相關(guān)的政策,強(qiáng)制要求APP開發(fā)商和運營企業(yè)接受安全檢測,遵守安全規(guī)范,從而進(jìn)一步推動移動互聯(lián)網(wǎng)金融安全工作,提高系統(tǒng)安全水平。
對于目前互聯(lián)網(wǎng)金融類信貸APP的信息安全現(xiàn)狀,上海掌御信息科技有限公司CTO李卷孺表達(dá)了自己的擔(dān)憂,“互聯(lián)網(wǎng)金融類信貸APP目前大多處于非常不安全的狀態(tài)。APP的安全系數(shù)并不與開發(fā)商企業(yè)規(guī)模呈正相關(guān),開發(fā)廠商的安全意識和重視程度很關(guān)鍵?!蹦壳皣庵?IT企業(yè)包括 Google、Facebook、Twitter、蘋果、Paypal等都有安全獎勵計劃,鼓勵安全咨詢企業(yè)幫助修復(fù)安全漏洞。
2015年底,工業(yè)和信息化部對《移動智能終端應(yīng)用軟件(APP)預(yù)置和分發(fā)管理暫行規(guī)定》公開征求意見,并將于年內(nèi)正式發(fā)布實施,以規(guī)范APP預(yù)置和分發(fā),要求智能手機(jī)應(yīng)用程序內(nèi)置和上架分發(fā)前進(jìn)行安全測試,并組織第三方評估和抽查,而且相關(guān)的國家實驗室和研究院都參與到其中。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 馬云現(xiàn)身支付寶20周年紀(jì)念日:AI將改變一切,但不意味著決定一切
- 萬事達(dá)卡推出反欺詐AI模型 金融科技擁抱生成式AI
- OpenAI創(chuàng)始人的世界幣懸了?高調(diào)收集虹膜數(shù)據(jù)引來歐洲監(jiān)管調(diào)查
- 華為孟晚舟最新演講:長風(fēng)萬里鵬正舉,勇立潮頭智為先
- 華為全球智慧金融峰會2023在上海開幕 攜手共建數(shù)智金融未來
- 移動支付發(fā)展超預(yù)期:2022年交易額1.3萬億美元 注冊賬戶16億
- 定位“敏捷的財務(wù)收支管理平臺”,合思品牌升級發(fā)布會上釋放了哪些信號?
- 分貝通商旅+費控+支付一體化戰(zhàn)略發(fā)布,一個平臺管理企業(yè)所有費用支出
- IMF經(jīng)濟(jì)學(xué)家:加密資產(chǎn)背后的技術(shù)可以改善支付,增進(jìn)公益
- 2022年加密貨幣“殺豬盤”涉案金額超20億美元 英國銀行業(yè)祭出限額措施
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。