根据最新公布的移动互联网金融APP“白皮书”来看,目前70%网络借贷APP可被监听篡改,存在十分严重的安全漏洞问题。根据这些网络借贷APP的漏洞,攻击者可以直接获取各种交易信息、密码口令等数据。“白皮书”的撰稿人质疑李卷孺称,虽说说安卓系统APP很不安全,但苹果系统也并不让人省心。
最新公布的《2015-2016移动互联网金融APP信息安全现状白皮书》(下称“白皮书”)称,目前网贷APP整体安全性并不高,每个APP都存在不同程度的信息安全问题,70%的APP中的用户信息可以被黑客监听和篡改。这份白皮书由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测,上海微令信息科技有限公司校园司令参与,上海淳粹文化传媒有限公司联合撰写。
这份白皮书的研究对象为安卓平台的88款最流行的金融APP。测评结果显示,互联网金融APP普遍存在着加密算法误用、网络传输保护不足、应用程序缺乏保护措施、敏感信息泄露等问题。更有个别APP还存在组件暴漏、可备份数据、Webview远程执行、拒绝服务共计、网络接口共计等重大安全漏洞问题。
在这些移动互联网金融APP中,其中有15%的APP与服务器交互时使用的数据为明文传输,也就是在传输过程中直接显示账号密码等数据,没有用任何加密,这让用户的个人信息完全泄露在黑客面前,漏洞危害十分之大。
安卓系统APP都均在安全漏洞情况,那么苹果系统的呢?白皮书的撰稿人之一李卷孺告诉记者,因为安卓开发比较广,应用市场也过于杂乱。但苹果系统也并不能完全让人省心,现在苹果手机上的大型应用都可以直接传输通讯录,只能说苹果和安卓手机的风险各有不同,没有绝对的安全。
知名网络借贷APP不重视安全问题
此外,报告列举的风险还包括通讯数据可解密、敏感数据本地可破解、调试信息泄露、敏感信息泄露、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等风险。其中,“可调试”指的是客户端APP能够被调试,动态的提取、修改运行时的程序数据和逻辑;“代码可逆向”指的是客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据。以上两项的风险范围最高,达到了70%,分别可能导致用户信息被监听篡改,以及APP被攻击和仿冒。
这份报告还给出了一份“白名单”,也就是安全性最高的10个互联网金融APP,包括开鑫贷、大麦理财、九信金融、PP理财、爱投资等,而大家耳熟能详的陆金所、人人贷、积木盒子等公司并不在其列。
对此结果,报告撰稿人之一、上海掌御信息科技有限公司CTO李卷孺表示,APP的安全性跟企业规模并不成正比,白名单只是通过检测发现上述几家的安全系数更高,明显是找了专业技术人员多次调试。
李卷孺称,其实很多网贷APP的漏洞对于专业人员来说还是显而易见的,因此需要呼吁业界在聘用软件工程师时侧重信息安全方面的考量。由于担心引发黑客对漏洞明显的互联网金融APP进行攻击,他们并没有对外公开这些公司的名称,但具体的测评报告是对受测公司公开的。
注:了解更多专业知识,请点击订阅财经网(www.99niu.com),转载注明出处。