88个金融类App被曝10大隐患安全漏洞亟待打补丁(2)

发布时间:2016-08-22 12:00 作者:张文扬来源:经济观察报点击:加载中...次

　　安全底线

针对检测团队对88个互联网金融类移动应用App的检测发现的十大安全隐患，《白皮书》指出，构建权威性的安全标准、政策推动、构建企业广泛参与的安全生态、提高国民信息安全意识等都成为实现网贷信息安全的重点。

针对《白皮书》的检测结果，李卷孺说：“本次检测不对企业数据、用户隐私造成任何破坏，旨在发现应用本身的安全问题，对于存在的安全问题不做深度利用。”

朱易翔则表示：“通过这个测试，我们想把结果传达给两个群体，一个是重视发展而忽视安全维护的金融企业，另一个是金融App的使用用户。我们想在这个领域拉响警报。同时，未来也会涉及生活、社交App的信息安全领域。”

中国信息通信研究院安全研究所软件测评部主任戈志勇说，“如果能够为App开发制定一套详细的安全规范和测试安全标准，必将有效地降低金融以及其它类App安全问题发生的概率。希望通过全面深入的实际测试，总结出一套App应该遵循的安全规范和测试安全标准，并为后续开发人员提供指导。”

国家计算机病毒防御工程实验室研究室负责人、国家漏洞库首批特聘专家魏强表示，“信息安全问题现在已经客观存在，这是直接关乎人民财产安全的事。在发生问题之前或问题大规模浮出水面之前，能够防患于未然，这是《白皮书》的目的。”《白皮书》由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测，上海微令信息科技有限公司校园司令参与，上海淳粹文化传媒有限公司联合撰写并独家发布。“一旦不法分子利用此类App中存在的安全漏洞进行攻击，轻则盗窃无辜民众的财产，重则扰乱金融市场秩序，甚至对国家和社会的安全稳定发展造成极大负面影响。”上海淳粹文化传媒有限公司创始人兼CEO曾国伟表示，“这次发布《白皮书》的目的在于促进移动互联网金融安全生态发展，提高互联网金融企业移动应用安全水平，实现用户和企业共赢。”

据《白皮书》统计，近三年来，目前记录在案的所有出现重大问题的互联网金融平台统计如下：2014年为254个，占所有出现重大问题平台的18.86%；2015年为746个，占总数的55.38%；2016上半年共出现268个，占总数的19.90%。《白皮书》指出，虽然2016年似乎呈现出下降趋势，但互联网金融平台问题高发时间段主要在金融业结算、兑付频率较高的下半年，所以这表面上看似的“一点点下降趋势”并非真实。

2015年开始，网贷平台的问题逐渐浮出水面。从e租宝、校园贷的丑闻，到大学生网贷引发的“裸条”事件；从提现困难、开发商跑路，升级到经侦介入。这些案件将大众视野吸引到了金融安全问题的同时，一个更深层次的安全问题却被忽略了。中国信息通信研究院安全研究所副所长王勇认为，人们对于互联网金融的关注点很多，包括风控、资产安全、资产流程安全，但没有一家去关注互联网金融网贷的App本身是否安全。

移动互联网系统与应用安全国家工程实验室高级研究员朱易翔表示，“移动互联网金融作为移动互联网与金融的双重结合，其安全要求也具有了双重性，一方面是资金安全，这是金融的底线；另一方面就是移动互联网安全，也就是信息安全。”

　　亟待修复

记者打开手机客户端，在手机商店搜索栏输入“金融”、“理财”等字样，“大麦理财”、“PP理财”、“铜掌柜理财”、“开鑫贷”等琳琅满目的金融信贷类App占据了手机屏幕。中国电信股份有限公司上海研究院副院长张明杰认为，“随着中国互联网消费金融市场的发展、政策试点扩大范围、央行开放征信牌照、从互联网巨头到新兴创业公司都开始布局消费金融，这是发展趋势”。

麦肯锡公司在其发布的《中国银行业创新系列报告》中称：2015年底，中国互联网金融的市场规模达到12-15万亿元，占GDP的近20%，互联网金融用户人数也超过5亿成为世界第一。数亿的用户基数，使得移动互联网金融产品信息安全问题被提升到社会问题的高度。

根据互联网专业平台“网贷之家”的数据统计，仅2016年第一季度，国内App市场上就已新增超过100家相对稳定运营的互联网金融App，为用户提供相关产品和服务。而早在2014年，普华永道便有统计数据显示，中国移动互联网金融呈现爆发式增长，全年交易额超过20万亿人民币。主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。

中国第三方移动数据服务平台TalkingData发布的《2015年移动互联网年度盘点》报告显示，移动金融理财领域的用户规模目前超过8.2亿，这在中国12.8亿的总移动互联网用户中占比超过60%，渗透率还在持续升高。报告提出，从用户行为上看，金融理财应用的安装数量和打开数量遥遥领先于餐饮、旅游、出行、医疗等行业，且涉及的财产数量巨大。

中国信息通信研究院安全研究所副所长王勇说，“App安全特别是金融类App的安全，是国家、开发商、用户三方面共同的需求。”

《移动互联网金融App信息安全现状白皮书》指出，在金融App领域，也亟需从国家、政府层面上推行相关的政策，强制要求App开发商和运营企业接受安全检测，遵守安全规范，从而进一步推动移动互联网金融安全工作，提高系统安全水平。

对于目前互联网金融类信贷App的信息安全现状，上海掌御信息科技有限公司CTO李卷孺表达了自己的担忧，“互联网金融类信贷App目前大多处于非常不安全的状态。App的安全系数并不与开发商企业规模呈正相关，开发厂商的安全意识和重视程度很关键。”目前国外著名的 IT企业包括 Google、Facebook、Twitter、苹果、Paypal等都有安全奖励计划，鼓励安全咨询企业帮助修复安全漏洞。

2015年底，工业和信息化部对《移动智能终端应用软件(App)预置和分发管理暂行规定》公开征求意见，并将于年内正式发布实施，以规范App预置和分发，要求智能手机应用程序内置和上架分发前进行安全测试，并组织第三方评估和抽查，而且相关的国家实验室和研究院都参与到其中。

(责任编辑：安博涛)