日前发布的《移动互联网金融APP信息安全现状指导书》(下称“指导书”)指出,移动互联网金融APP信息安全不容忽视。
该指导书由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司3家单位检测完成。
分析显示,随着中国互联网(爱基,净值,资讯)消费金融市场的发展、政策试点扩大范围、央行开放征信牌照,从互联网巨头到新兴创业公司都开始布局消费金融。特别是随着移动互联网的普及和推广,移动互联网金融正成为互联网金融的主要服务模式之一。
普华永道的统计数据显示,早在 2014年,中国移动互联网金融就呈爆发式增长,全年交易额超过20万亿元人民币。主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。
移动互联网金融大行其道,各类互联网金融APP挤满了手机应用商店,在2016年第一季度国内APP市场上就已新增超过100家相对稳定运营的互联网金融APP,为用户提供相关产品和服务。移动互联网改变了用户的行为习惯,同时也影响了用户对互联网金融产品和服务的获得手段。从用户行为上看,金融理财应用的安装数量和打开数量遥遥领先于餐饮、旅游、出行、医疗等行业,且涉及的财产数量巨大。
“移动互联网金融作为移动互联网与金融的双重结合,安全要求也具有了双重性。”移动互联网系统与应用安全国家工程实验室高级研究员朱易翔指出,一方面是资金安全,这是金融的底线;另一方面就是移动互联网安全,也就是信息安全。
中国信息通信研究院安全研究所软件测评部主任戈志勇指出,该指导书对当前国内互联网金融行业网贷相关的Android移动应用(APP)作了信息安全分析评判。测试发现,参与测试的大部分 APP 均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。
指导书内容显示,当前国内移动互联网金融 APP 信息安全存在着以下十大安全隐患:信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。
专家指出,一旦不法分子利用此类APP中存在的安全漏洞进行攻击,轻则盗窃财产,重则扰乱金融市场秩序,甚至对国家和社会安全稳定发展造成极大负面影响。
指导书认为,在金融APP领域也亟须从国家、政府层面推行相关政策,强制要求APP开发商和运营企业接受安全检测,遵守安全规范,从而进一步推动移动互联网金融安全工作,提高系统安全水平。
“如果能够为APP开发制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类APP安全问题发生的概率。”戈志勇表示,希望通过全面深入的实际测试,总结出一套APP应该遵循的安全规范和测试安全标准,并为后续开发人员提供指导。
