白皮书显示:国内移动互联网金融APP存重大信息安全问题
发布日期:2016-08-24根据8月19日发布的《移动互联网金融APP信息安全现状白皮书》显示,目前国内移动互联网金融APP存在大量信息安全问题。
这份白皮书由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司共同撰写,团队经过29天,对规模较大、用户较多的互联网金融公司旗下的Android平台客户端进行了多维度的评估。根据该白皮书所示,近三年来金融类APP出现的安全事故比例如下:
·2014年为254个,占所有出现重大问题平台的 18.86%;
·2015年为746个,占总数的55.38%;
·2016上半年共出现268个,占总数的19.90%。
“移动互联网金融作为移动互联网与金融的双重结合,安全要求也具有双重性。”移动互联网系统与应用安全国家工程实验室高级研究员朱易翔指出,这种双重性,一方面是资金安全,是金融安全的基石;另一方面是信息安全,这是互联网世界的底线。
中国信息通信研究院安全研究所软件测评部主任戈志勇介绍称,《白皮书》是采用公开、合法的信息,运用相应的科学研究方法,对当前国内互联网金融行业网贷相关的Android移动应用(APP)做出的信息安全分析评判。《白皮书》检测对象的信息安全测试完全针对相应移动互联网金融平台自身对外公开发布的APP程序进行,并对所有抽样平台进行同等测试、科学统计、客观评定,过程无任何主观因素及人为干预。
移动互联网金融成为趋势
随着移动终端取代传统计算机成为互联网新入口,再加上互联网金融的蓬勃发展,使得移动互联网金融成为了互联网金融的主要服务模式。根据普华永道的统计数据,早在2014年,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿人民币。
互联网金融风险巨大
然而,巨大的机遇和收益也带来了巨大的风险。
在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,一个接一个地倒下,其中不乏因问题严重而出现提现困难,甚至跑路的。根据互联网专业平台“网贷之家”的数据统计,自2011年有相关正式记录以来,至2016年6月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为1347个。
除了资金出现的问题,实际上还有另一个问题一直被大家忽视,即移动金融app的安全性。金融类APP出现的安全漏洞相比WEB平台要高出很多,或许是由以下原因所导致。
1. 开发经验不足
2. 投入的时间和经济成本较低
3. 相关安全人员的缺失
4. 目前国内还没专门的APP安全平台
相对于WEB平台来说,APP的安全性还有待提高。WEB的安全研究已经有十多年之久,而APP安全研究是在最近这几年才所普及,所以相对应的安全开发经验不足也是需要弥补的。大部分的金融厂商只在乎其APP的功能性,忽略了APP的安全性,导致了对其安全投入的资金和时间过低,相对应的也产生了诸多的安全漏洞。相对于WEB安全,APP的安全研究门槛也要高出很多,除了需要WEB安全测试的基础以外,还需要相关的代码逆向研究,通讯协议研究等。高门槛的存在导致了相关的安全人员也有所缺失。此外,国内目前还没有专门的APP安全平台,其这个平台需要包含APP漏洞披露,APP风险预警,APP安全检测等。或许是因为以上原因,导致了金融类APP漏洞的数量和影响力在近几年来有所提升。
白皮书团队筛选了“网贷之家”中“发展指数”前100名互联网金融公司旗下的88款Android应用,从数据传输安全性、数据存储安全性、敏感数据保护水平、APP代码保护强度、密码算法与协议安全性五个维度进行评估,结果发现大量的手机金融app存在安全问题,这些安全问题可能导致用户敏感信息泄露、密码明文传输等隐患。延伸:移动APP存重大安全隐患,用户数据未启用HTTPS加密
十大安全风险
该白皮书抽取了88个互联网金融类移动应用App进行了深入 测试,发现了十大隐患。:
1、通信数据明文发送:客户端APP与服务器端交互的数据通过明文的通信信道传输。
2、通信数据可解密:客户端APP与服务器端交互的数据加密传输,但数据依然可以被解密。
3、敏感数据本地可破解:客户端APP将敏感数据(如登录密码,手势密码等)以明文存储在本地,或加密存储但通过逆向分析程序可以破解该数据。
4、调试信息泄漏:客户端APP将开发时帮助调试的信息打印出来,这些信息通常包含一些敏感的参数,消息的明文等。
5、敏感信息泄漏:客户端APP代码中泄漏敏感数据,如对称加密密钥,非对称加密中的私钥,认证使用的共享密钥,不应被暴露的后台服务器管理地址等等。
6、密码学误用:客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中IV固定,不安全的公钥进行非对称加密等。
7、功能泄露:客户端APP中高权限的行为和功能(如发送短信,读取联系人等)没有被安全的保护,被其他无授权的应用程序调用或访问。
8、可二次打包:客户端APP可被修改代码后,重新打包发布在市场上供用户下载。
9、可调试:客户端APP能够被调试,动态的提取、修改运行时的程序数据和逻辑。
10、代码可逆向:客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据。
掌御信息CTO李卷孺博士称,这次的评估是通过所测试的这88个app推测整个互联网金融行业app的安全水平,然而一些规模较小的公司基本没有能力对app的安全性进行保护。实际上从悲观的角度看,行业的整体水平可能更糟。此次检测了88家互联网公司的APP,白皮书仅公布了10家相对安全的APP。记者发现,投资者熟知的一些知名机构比如陆金所、拍拍贷、红岭创投、宜人贷等均不在“白名单”中。检测机构表示,已经把漏洞告知了相关的金融机构,希望他们能够在30天之内修复漏洞。
金融app与其他普通的app不同,涉及用户的资产规模可能更大,因此,更应该有严格的安全防护。然而,现实却不是这样。究其原因,大部分的企业在研发时,一味追求功能实现和发布速度,缺少对安全的重视。因此,专家们希望企业和开发人员们能够转变观念,培养安全意识,在发布app之前应做相关的安全咨询或安全审计。
文章来源:FreeBuf