目前國內(nèi)大部分為客戶提供移動(dòng)金融服務(wù)的APP都缺少規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和流程�����,許多APP缺乏對(duì)其代碼和業(yè)務(wù)邏輯的充分安全性測試,導(dǎo)致其包含的安全漏洞會(huì)將重要的數(shù)據(jù)信息暴露給黑客����。
8月19日發(fā)布的《移動(dòng)互聯(lián)網(wǎng)金融APP信息安全現(xiàn)狀白皮書》顯示�,目前國內(nèi)移動(dòng)互聯(lián)網(wǎng)金融APP存在大量信息安全問題。
這份白皮書是由中國信息通信研究院信息產(chǎn)業(yè)通信軟件評(píng)測中心�、移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室和上海掌御信息科技有限公司共同完成的。
近年來����,移動(dòng)互聯(lián)網(wǎng)金融正逐漸成為互聯(lián)網(wǎng)金融的主要服務(wù)模式����,而且發(fā)展十分迅速。2016年第一季度��,全國就新增100家以上的運(yùn)營相對(duì)穩(wěn)定的互聯(lián)網(wǎng)金融APP�����。
“移動(dòng)互聯(lián)網(wǎng)金融作為移動(dòng)互聯(lián)網(wǎng)與金融的雙重結(jié)合����,安全要求也具有雙重性����。”移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室高級(jí)研究員朱易翔指出����,一方面是資金安全,這是金融安全的基石���;另一方面就是信息安全���,這是互聯(lián)網(wǎng)世界的底線。
中國信息通信研究院安全研究所軟件測評(píng)部主任戈志勇表示���,《白皮書》是采用公開����、合法的信息����,運(yùn)用相應(yīng)的科學(xué)研究方法,對(duì)當(dāng)前國內(nèi)互聯(lián)網(wǎng)金融行業(yè)網(wǎng)貸相關(guān)的Android移動(dòng)應(yīng)用(APP)做出的信息安全分析評(píng)判���。
“檢測過程耗時(shí)29天���,對(duì)樣本中的88個(gè)互聯(lián)網(wǎng)金融類移動(dòng)應(yīng)用APP進(jìn)行了深入測試�����,從中發(fā)現(xiàn)了大量安全問題��。”朱易翔介紹��,參與測試的大部分APP均存在加密算法誤用���、加密協(xié)議實(shí)現(xiàn)不正確和不完整的情況,并且在保護(hù)用戶的交易信息���、防止交易被篡改、防止用戶身份被盜用方面表現(xiàn)不佳�。
“測試過程中發(fā)現(xiàn),有些比較知名的互聯(lián)網(wǎng)金融APP甚至存在很低級(jí)的漏洞����。”上海掌御信息科技有限公司CTO李卷孺介紹,目前國內(nèi)大部分為客戶提供移動(dòng)金融服務(wù)的APP都缺少規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和流程���,許多APP缺乏對(duì)其代碼和業(yè)務(wù)邏輯的充分安全性測試���,導(dǎo)致其包含的安全漏洞會(huì)將重要的數(shù)據(jù)信息暴露給黑客�����,將使用該應(yīng)用的客戶置于風(fēng)險(xiǎn)之中���。
戈志勇表示,希望通過全面深入的實(shí)際測試���,研究出一套APP應(yīng)該遵循的安全規(guī)范和測試安全標(biāo)準(zhǔn)�����,并為后續(xù)開發(fā)人員提供指導(dǎo)�����。
