網路借貸的風險不僅來自於運營者跑路,相關APP的資訊技術風險、資訊安全風險似乎更大。
最新公佈的《2015-2016移動網際網路金融APP資訊安全現狀白皮書》(下稱“白皮書”)稱,目前網貸APP整體安全性並不高,每個APP都存在不同程度的資訊安全問題,70%的APP中的用戶資訊可以被駭客監聽和篡改。
這份白皮書由中國資訊通信研究院資訊産業通信軟體評測中心、移動網際網路系統與應用安全國家工程實驗室和上海掌禦資訊科技有限公司等3家單位完成檢測,上海微令資訊科技有限公司校園司令參與,上海淳粹文化傳媒有限公司聯合撰寫。
報告研究對像是安卓平臺上88款最流行的移動金融APP,這88家也是網路借貸第三方分析研究機構網貸之家2015年評比的發展指數排名前列者。按照網貸之家的數據,儘管網際網路金融大整治清理了一批,現存的P2P企業仍有2000家。而大部分在資訊技術、資訊安全上似乎並不是太專業。
測評結果顯示,網際網路金融普遍存在加密演算法的誤用、網路傳輸保護不足、應用程式缺乏保護措施、本地文件及系統日誌敏感資訊泄漏等幾個方面的問題。嚴重之處在於,個別APP還存在組件暴露漏洞、可數據備份漏洞、Webview遠端執行漏洞、拒絕服務攻擊漏洞、網路介面攻擊漏洞等等其他安全問題。
該報告還列出了移動網際網路金融APP資訊安全的十大風險,其中危害最大的是,15%的網際網路金融APP與伺服器端交互的數據通過明文的通信信道傳輸,這可以導致用戶進行的金融交易資訊、密碼密碼等秘密數據完全暴露在攻擊者面前。駭客不僅可以監聽用戶進行的所有交易資訊,還可以篡改交易內容甚至冒充用戶登錄進行交易。
此外,報告列舉的風險還包括通訊數據可解密、敏感數據本地可破解、調試資訊洩露、敏感資訊洩露、密碼學誤用、功能洩露、可二次打包、可調試、代碼可逆向等風險。其中,“可調試”指的是客戶端APP能夠被調試,動態的提取、修改運作時的程式數據和邏輯;“代碼可逆向”指的是客戶端APP的邏輯能夠被輕易獲取和逆向,得到代碼和程式中的敏感數據。以上兩項的風險範圍最高,達到了70%,分別可能導致用戶資訊被監聽篡改,以及APP被攻擊和倣冒。
這份報告還給出了一份“白名單”,也就是安全性最高的10個網際網路金融APP,包括開鑫貸、大麥理財、九信金融、PP理財、愛投資等,而大家耳熟能詳的陸金所、人人貸、積木盒子等公司並不在其列。
對此結果,報告撰稿人之一、上海掌禦資訊科技有限公司CTO李卷孺表示,APP的安全性跟企業規模並不成正比,白名單只是通過檢測發現上述幾家的安全系數更高,明顯是找了專業技術人員多次調試。
李卷孺稱,其實很多網貸APP的漏洞對於專業人員來説還是顯而易見的,因此需要呼籲業界在聘用軟體工程師時側重資訊安全方面的考量。由於擔心引發駭客對漏洞明顯的網際網路金融APP進行攻擊,他們並沒有對外公開這些公司的名稱,但具體的測評報告是對受測公司公開的。
此外,對於網貸APP是不是比傳統金融機構APP的安全性更低,李卷孺並不這麼認為:“具體情況具體分析,有些傳統金融APP也很容易受攻擊,有些金融機構的網站安全性高,但是手機客戶端沒有認真做好這一點。”
安卓系統上這些APP不安全,那蘋果系統呢?
李卷孺認為,安卓手機的應用市場太龐雜,且下載太容易:“有時候發個短信、上個網頁就能下載,門檻比較低,惡意軟體頻頻出現。”但蘋果也不完全省心,“雖然蘋果為了資訊安全,至今沒有開放通話記錄這個功能,但是蘋果手機上的大型應用可以直接傳輸通訊錄,只能説蘋果和安卓手機的風險各有不同。”
[責任編輯:李帥]
京ICP證130248號京公網安備110102003391