运营商世界网 王灏/文
8月19日,由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司共同完成的《2015-2016移动互联网金融APP信息安全现状白皮书》正式发布。
发布会在上海通茂大酒店举行。中国信息通信研究院安全研究所副所长王勇,中国电信股份有限公司上海研究院副院长、移动互联网系统与应用安全国家工程实验室技术委员会副主任张明杰,信息工程大学教授博士生导师、国家计算机病毒防御工程实验室、研究室负责人、国家漏洞库首批特聘专家魏强等多位业界领导、专家,以及众多媒体参加会议。
随着中国互联网消费金融市场的发展、政策试点扩大范围、央行开放征信牌照、从互联网巨头到新兴创业公司都开始布局消费金融。特别是随着移动互联网的普及和推广,移动互联网金融也逐渐成为互联网金融的主要服务模式。在移动互联网金融大行其道的今天,移动互联网改变了用户的行为习惯,同时也影响了用户对互联网金融产品和服务的获得手段。正如移动互联网系统与应用安全国家工程实验室高级研究员朱易翔指出的“移动互联网金融作为移动互联网与金融的双重结合,安全要求也具有了双重性,”一方面是资金安全,这是金融的底线;另一方面就是移动互联网安全,也就是信息安全。
在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,不乏因问题严重而出现提现困难,甚至跑路的。一些名噪一时的互金案件将大众视野都吸引到了金融安全上,但一个更为深层次的安全问题却被公众所忽视,那就是移动互联网金融APP自身存在的技术问题——即一直以来我们几乎都是从金融角度来关注和评价互联网金融平台的安全性问题的,很少有人能够从互联网信息安全的角度来对其重新审视。
据中国信息通信研究院安全研究所软件测评部主任戈志勇介绍,该《白皮书》是采用公开、合法的信息,运用相应的科学研究方法,第一次对当前国内互联网金融行业网贷相关的Android移动应用(APP)做出的信息安全分析评判。《白皮书》检测对象的信息安全测试完全针对相应移动互联网金融平台自身对外公开发布的APP程序进行,并对所有抽样平台进行同等测试、科学统计、客观评定,过程无任何主观因素及人为干预。
根据《白皮书》提供的内容显示,当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:信数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。据项目团队负责人朱易翔介绍,整个检测过程耗时29天,对样本中的88个互联网金融类移动应用APP进行了深入测试,发现了大量安全问题。测试中发现,参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。有些比较知名的互联网金融APP甚至存在很低级的漏洞。
“一旦不法分子利用此类APP中存在的安全漏洞进行攻击,轻则盗窃无辜民众财产,重则扰乱金融市场秩序,甚至对国家和社会的安全稳定发展造成极大负面影响。”上海淳粹文化传媒有限公司创始人兼CEO曾国伟表示,“这次发布《白皮书》的目的在于促进移动互联网金融安全生态发展,提高互联网金融企业移动应用安全水平,实现用户和企业共赢。”
《白皮书》指出,在金融APP领域,也亟需从国家、政府层面上推行相关的政策,强制要求APP开发商和运营企业接受安全检测,遵守安全规范,从而进一步推动移动互联网金融安全工作,提高系统安全水平。
戈志勇表示,“如果能够为APP开发制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类APP安全问题发生的概率。” 希望通过全面深入的实际测试,总结出一套APP应该遵循的安全规范和测试安全标准,并为后续开发人员提供指导。