近年来,移动互联网金融正逐渐成为互联网金融主要服务模式,发展十分迅速。2016年1-3月份,全国就新增100家以上的运营相对稳定的互联网金融APP。随着中国互联网消费金融市场发展、央行开放的征信牌照,从互联网巨头到新兴创业公司都开始布局起消费金融。特别是随着移动互联网普及和推广,移动互联网金融也逐渐成为互联网金融主要服务模式。
各种互联网金融APP开发挤满了手机应用商店。移动互联网金融APP开发井喷式发展背后,相关信息安全保护问题却未引起足够重视。一直以来,大众一般从金融角度来关注和评价互联网金融平台安全性问题,很少有人能从互联网信息安全角度来对其进行重新审视。在满足了便捷性和功能性需求后,这些APP在技术开发上却是“漏洞百出”的。
目前,国内大部分金融APP都缺少规范安全监管标准和流程,许多APP缺乏对其代码和业务逻辑的安全性测试,导致其包含的安全漏洞会将重要数据信息暴露给黑客,将使用该金融APP应用的客户置于风险之中。WEB安全研究已经有十多年之久,而APP安全研究是在最近这几年才所普及的,所以安全开发经验不足也是需要弥补的。大部分的金融厂商只在乎其APP的功能性,忽略了APP的安全性,导致了对其安全投入的资金和时间过低,相对应的也产生了诸多的安全漏洞。相对于WEB安全,APP的安全研究门槛也要高出很多,除了需要WEB安全测试的基础以外,还需要相关的代码逆向研究,通讯协议研究等。高门槛的存在导致了相关的安全人员也有所缺失。此外,国内目前还没有专门的APP安全平台,其这个平台需要包含APP漏洞披露,APP风险预警,APP安全检测等。或许是因为以上原因,导致了金融类APP漏洞的数量和影响力在近几年来有所提升。
白皮书团队筛选了“网贷之家”中“发展指数”前100名互联网金融公司旗下88款Android应用,根据数据传输安全性、数据存储安全性、敏感数据的保护水平、APP代码的保护强度、密码算法及协议安全性五个维度进行评估,结果发现大量手机金融app存在安全问题,这些安全问题有可能导致用户敏感信息泄露等隐患。
金融app开发与其他普通app不同,涉及用户资产规模可能更大,因此,更应该有严格安全防护。然而,现实却不是这样。究其原因,大部分企业在研发时,一味追求功能实现和发布的速度,缺少对安全问题的重视。因此,专家们希望企业和开发人员们能够转变这种观念,培养安全意识,在发布app之前应做相关安全咨询或安全审计。
本网站来源:http://www.lei-niao.com/
