中国信通院发移动互联网金融APP信息安全白皮书

2016-08-26 15:18:00 作者:红黑联盟 分类 : 比特网

  8月19日发布的《移动互联网金融APP信息安全现状白皮书》显示,目前国内移动互联网金融APP存在大量信息安全问题。[/b]

  这份白皮书由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司共同撰写,团队经过29天,对规模较大、用户较多的互联网金融公司旗下的Android平台客户端进行了多维度的评估。根据该白皮书所示,近三年来金融类APP出现的安全事故比例如下:

  2014年为254个,占所有出现重大问题平台的 18.86%;

  2015年为746个,占总数的55.38%;

  2016上半年共出现268个,占总数的19.90%。

  “移动互联网金融作为移动互联网与金融的双重结合,安全要求也具有双重性。”移动互联网系统与应用安全国家工程实验室高级研究员朱易翔指出,这种双重性,一方面是资金安全,是金融安全的基石;另一方面是信息安全,这是互联网世界的底线。

\

  中国信息通信研究院安全研究所软件测评部主任戈志勇介绍称,《白皮书》是采用公开、合法的信息,运用相应的科学研究方法,对当前国内互联网金融行业网贷相关的Android移动应用(APP)做出的信息安全分析评判。《白皮书》检测对象的信息安全测试完全针对相应移动互联网金融平台自身对外公开发布的APP程序进行,并对所有抽样平台进行同等测试、科学统计、客观评定,过程无任何主观因素及人为干预。

  移动互联网金融成为趋势

  随着移动终端取代传统计算机成为互联网新入口,再加上互联网金融的蓬勃发展,使得移动互联网金融成为了互联网金融的主要服务模式。根据普华永道的统计数据,早在2014年,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿人民币。

  互联网金融风险巨大

  然而,巨大的机遇和收益也带来了巨大的风险。

  在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,一个接一个地倒下,其中不乏因问题严重而出现提现困难,甚至跑路的。根据互联网专业平台“网贷之家”的数据统计,自2011年有相关正式记录以来,至2016年6月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为1347个。

\

  除了资金出现的问题,实际上还有另一个问题一直被大家忽视,即移动金融app的安全性。金融类APP出现的安全漏洞相比WEB平台要高出很多,或许是由以下原因所导致。

  1. 开发经验不足

  2. 投入的时间和经济成本较低

  3. 相关安全人员的缺失

  4. 目前国内还没专门的APP安全平台

  相对于WEB平台来说,APP的安全性还有待提高。WEB的安全研究已经有十多年之久,而APP安全研究是在最近这几年才所普及,所以相对应的安全开发经验不足也是需要弥补的。大部分的金融厂商只在乎其APP的功能性,忽略了APP的安全性,导致了对其安全投入的资金和时间过低,相对应的也产生了诸多的安全漏洞。相对于WEB安全,APP的安全研究门槛也要高出很多,除了需要WEB安全测试的基础以外,还需要相关的代码逆向研究,通讯协议研究等。高门槛的存在导致了相关的安全人员也有所缺失。此外,国内目前还没有专门的APP安全平台,其这个平台需要包含APP漏洞披露,APP风险预警,APP安全检测等。或许是因为以上原因,导致了金融类APP漏洞的数量和影响力在近几年来有所提升。

  白皮书团队筛选了“网贷之家”中“发展指数”前100名互联网金融公司旗下的88款Android应用,从数据传输安全性、数据存储安全性、敏感数据保护水平、APP代码保护强度、密码算法与协议安全性五个维度进行评估,结果发现大量的手机金融app存在安全问题,这些安全问题可能导致用户敏感信息泄露、密码明文传输等隐患。

  十大安全风险

  该白皮书抽取了88个互联网金融类移动应用App进行了深入 测试,发现了十大隐患。:

  1、通信数据明文发送:客户端APP与服务器端交互的数据通过明文的通信信道传输。

  2、通信数据可解密:客户端APP与服务器端交互的数据加密传输,但数据依然可以被解密。

  3、敏感数据本地可破解:客户端APP将敏感数据(如登录密码,手势密码等)以明文存储在本地,或加密存储但通过逆向分析程序可以破解该数据。

  4、调试信息泄漏:客户端APP将开发时帮助调试的信息打印出来,这些信息通常包含一些敏感的参数,消息的明文等。

  5、敏感信息泄漏:客户端APP代码中泄漏敏感数据,如对称加密密钥,非对称加密中的私钥,认证使用的共享密钥,不应被暴露的后台服务器管理地址等等。

  6、密码学误用:客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中IV固定,不安全的公钥进行非对称加密等。

  7、功能泄露:客户端APP中高权限的行为和功能(如发送短信,读取联系人等)没有被安全的保护,被其他无授权的应用程序调用或访问。

  8、可二次打包:客户端APP可被修改代码后,重新打包发布在市场上供用户下载。

  9、可调试:客户端APP能够被调试,动态的提取、修改运行时的程序数据和逻辑。

  10、代码可逆向:客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据。

  掌御信息CTO李卷孺博士称,这次的评估是通过所测试的这88个app推测整个互联网金融行业app的安全水平,然而一些规模较小的公司基本没有能力对app的安全性进行保护。实际上从悲观的角度看,行业的整体水平可能更糟。此次检测了88家互联网公司的APP,白皮书仅公布了10家相对安全的APP。记者发现,投资者熟知的一些知名机构比如陆金所、拍拍贷、红岭创投、宜人贷等均不在“白名单”中。检测机构表示,已经把漏洞告知了相关的金融机构,希望他们能够在30天之内修复漏洞。

  金融app与其他普通的app不同,涉及用户的资产规模可能更大,因此,更应该有严格的安全防护。然而,现实却不是这样。究其原因,大部分的企业在研发时,一味追求功能实现和发布速度,缺少对安全的重视。因此,专家们希望企业和开发人员们能够转变观念,培养安全意识,在发布app之前应做相关的安全咨询或安全审计。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

比食人鱼更恐怖:长着人类牙齿的鱼

比食人鱼更恐怖:长着人类牙齿的鱼>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。