8月19日發佈的《移動互聯網金融APP資訊安全現狀白皮書》顯示,目前國內移動互聯網金融APP存在大量資訊安全問題。
這份白皮書是由中國資訊通信研究院資訊產業通信軟體評測中心、移動互聯網系統與應用安全國家工程實驗室和上海掌禦資訊科技有限公司共同完成的。
近年來,移動互聯網金融正逐漸成為互聯網金融的主要服務模式,而且發展十分迅速。2016年第一季度,全國就新增100家以上的運營相對穩定的互聯網金融APP。
“移動互聯網金融作為移動互聯網與金融的雙重結合,安全要求也具有雙重性。”移動互聯網系統與應用安全國家工程實驗室高級研究員朱易翔指出,一方面是資金安全,這是金融安全的基石;另一方面就是資訊安全,這是互聯網世界的底線。
中國資訊通信研究院安全研究所軟體測評部主任戈志勇表示,《白皮書》是採用公開、合法的資訊,運用相應的科學研究方法,對當前國內互聯網金融行業網貸相關的Android移動應用(APP)做出的資訊安全分析評判。
“檢測過程耗時29天,對樣本中的88個互聯網金融類移動應用APP進行了深入測試,從中發現了大量安全問題。”朱易翔介紹,參與測試的大部分APP均存在加密演算法誤用、加密協定實現不正確和不完整的情況,並且在保護使用者的交易資訊、防止交易被篡改、防止使用者身份被盜用方面表現不佳。
“測試過程中發現,有些比較知名的互聯網金融APP甚至存在很低級的漏洞。”上海掌禦資訊科技有限公司CTO李卷孺介紹,目前國內大部分為客戶提供移動金融服務的APP都缺少規範的安全監管標準和流程,許多APP缺乏對其代碼和業務邏輯的充分安全性測試,導致其包含的安全性漏洞會將重要的資料資訊暴露給駭客,將使用該應用的客戶置於風險之中。
戈志勇表示,希望通過全面深入的實際測試,研究出一套APP應該遵循的安全規範和測試安全標準,並為後續開發人員提供指導
最新評論