除了跑路,你需要关注P2P更多的问题。
近日,中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室联合上海掌御信息科技有限公司等3家单位发布《移动互联网金融APP信息安全现状白皮书》。
上述报告分析样本选自2015年互联网金融专业平台“网贷之家”中发展指数前100名的互联网金融公司旗下的Android移动应用,对其进行信息安全评估。“主要目的即分析评估当前国内主流移动互联网金融APP中存在的典型信息安全问题和风险,并对其中存在的高风险进行预警。”
近年来随着中国互联网消费金融市场的发展、政策试点扩大范围、央行开放征信牌照、从互联网巨头到新兴创业公司都开始布局消费金融。随着移动互联网的普及和推广,移动互联网金融也逐渐成为互联网金融的主要服务模式。
据普华永道的统计数据显示,早在2014年,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿人民币。主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。
移动互联网金融大行其道,各类互联网金融APP挤满了手机应用商店。2016年第一季度国内APP市场上已新增超过100家相对稳定运营的互联网金融APP。
互联网金融繁荣之下却也一地鸡毛。各路金融平台出现各种问题,据“网贷之家”数据统计,自2011年有相关正式记录以来,至2016年6月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为1347个。
其中跑路的平台为824个,占61.17%;提现困难占37.12%;经侦有机会介入进行相关调查的21个,仅占总数的1.56%。
“移动互联网金融作为移动互联网与金融的双重结合,安全要求也具有了双重性,” 移动互联网系统与应用安全国家工程实验室高级研究员朱易翔指出,一方面是资金安全,这是金融的底线;另一方面就是移动互联网安全,也就是信息安全。
除金融安全外,移动互联网金融APP自身存在的技术问题一直被忽视。在满足便捷性和功能性的需求后,技术开发上显得漏洞百出。
上述报告完成了88份独立的检测记录,结果不容乐观。“从测试结果可以看出,目前互联网金融类APP的安全性并不高,每个APP都存在不同程度的安全问题。”朱易翔介绍,“其中普遍存在的问题集中在加密算法的误用、网络传输保护不足、应用程序缺乏保护措施、本地文件及系统日志敏感信息泄漏等几个方面。”
根据《白皮书》提供的内容显示,当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:信数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。
目前国内大部分为客户提供移动金融服务的APP都缺少规范的安全监管标准和流程,许多APP缺乏对其代码和业务逻辑的充分安全性测试,导致其包含的安全漏洞会将重要的数据信息暴露给黑客,将使用该应用的客户置于风险之中。“在我们测试过程中发现,有些在移动市场比较知名的互联网金融APP甚至存在着很低级的漏洞。”上海掌御信息科技有限公司 CTO李卷孺博士表示。
上述《白皮书》指出,在金融APP领域,也亟需从国家、政府层面上推行相关的政策,强制要求APP开发商和运营企业接受安全检测,遵守安全规范,从而进一步推动移动互联网金融安全工作,提高系统安全水平。
“如果能够为APP开发制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类APP安全问题发生的概率。”中国信息通信研究院安全研究所软件测评部主任戈志勇表示,希望通过全面深入的实际测试,总结出一套APP应该遵循的安全规范和测试安全标准,并为后续开发人员提供指导。
(编辑:李清宇)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。
分享成功