2016年5月4日,來自移動網際網路系統與應用安全國家工程實驗室的4人、來自中國資訊通信研究院資訊産業通信軟體評測中心的 3人和來自上海掌禦資訊科技有限公司的4人,共同組成了一個檢測團隊。
此後的29天時間,這11名資深移動應用安全專家泡在移動網際網路系統與應用安全國家工程實驗室裏,針對網際網路金融安全平臺"網貸之家"中2015年發展指數前100名的網際網路金融公司旗下的Android移動應用進行資訊安全評估,並對樣本中的88個網際網路金融類移動應用APP進行了深入測試,發現了十大隱患。
8月19日,這個檢測團隊對88個網際網路金融類移動應用APP的檢測結果以《移動網際網路金融APP資訊安全現狀白皮書》(簡稱《白皮書》)形式正式發佈。《白皮書》內容顯示,當前國內移動網際網路金融APP資訊安全存在著以下十大安全隱患:資訊數據明文發送、通信數據可解密、敏感數據本地可破解、調試資訊泄漏、敏感資訊泄漏、密碼學誤用、功能洩露、可二次打包、可調試、代碼可逆向等。
技術漏洞
現實問題可能比檢測情況更加嚴重。
上海掌禦資訊科技有限公司CTO李卷孺直接參與了檢測的整個過程,他對經濟觀察報説:"我們選擇檢測的88個網貸平臺屬於相對規模較大的。目前國內已知存在的網貸平臺有4000多個,其數量遠遠大於我們的檢測數量,很多不成熟的網際網路金融網貸APP的開發,採用了通用的技術架構,其技術漏洞可能比我們檢測的這一批還要差。"
另一位參與評測的內部人員告訴經濟觀察報,"在我們測試過程中發現,有些在移動市場比較知名的網際網路金融APP甚至存在著很低級的漏洞,其中一家還是上市公司。"
針對為何只選取88家公佈評測結果這個問題,中國資訊通信研究院安全研究所軟體測評部主任戈志勇對經濟觀察報説:"我們選的是用戶量和活躍度最高的前100家。考慮到企業影響和可能帶來的駭客攻擊,我們不會公佈十大不安全的APP名單。"即便如此,用戶依然可以根據《白皮書》名單和2015年百強信貸APP名單進行比對,依此挑選安全性相對較高的網貸APP。
在樣本系統選取上,為何選擇Android系統而非IOS系統,負責白皮書撰寫工作的朱易翔表示:"從使用數量上看,在中國,Android用戶群多於IOS用戶,影響範圍會更廣泛,更具有代表性;在系統審核上,比起IOS的封閉系統,Android系統相對開放,檢測所需時間較短,相對成本低、效率高。"李卷孺則對此做了補充:"從技術層面上講,Android存在的問題,IOS也可能會存在。IOS系統上的網貸APP相比Android要少,也是我們選擇Android的原因之一。"
據戈志勇介紹,與傳統的安全測試相比,團隊討論提出了基於代碼安全、數據存儲安全、數據傳輸安全、網路服務介面安全和多方交互流程安全這五大安全測試內容的新一代測試標準。"測試發現,參與測試的大部分APP均存在加密演算法誤用、加密協議實現不正確、不完整的情況,並且在保護用戶的交易資訊、防止交易被篡改、防止用戶身份被盜用方面表現不佳。"朱易翔説。
普通用戶在使用金融APP的普通使用流程為:用Wi-Fi下載和安裝APP,通過APP註冊金融服務賬號,綁定手機、註冊郵箱和銀行卡等個人資訊,最後通過註冊賬號發起金融交易。李卷孺認為,在這個過程中,駭客存在大量可乘之機。他解釋道:"特別是在使用不可信的公共Wi-Fi網路環境時,有可能存在惡意駭客進行網路竊聽和操控。"
李卷孺還進一步闡述了駭客竊取用戶資訊的一般流程:"駭客可能會惡意偽造Wi-Fi網路並監聽數據,從而獲得用戶名和密碼等重要數據或資訊,並嘗試攔截並篡改數據請求,例如將手機號篡改。人們收到的一切認證資訊都來自駭客的轉發。在用戶毫不知情的情況下,隱私資訊或重要數據被竊取了。駭客還有可能進一步進行偽造交易等嚴重的惡意攻擊。"
安全底線
針對檢測團隊對88個網際網路金融類移動應用APP的檢測發現的十大安全隱患,《白皮書》指出,構建權威性的安全標準、政策推動、構建企業廣泛參與的安全生態、提高國民資訊安全意識等都成為實現網貸資訊安全的重點。
針對《白皮書》的檢測結果,李卷孺説:"本次檢測不對企業數據、用戶隱私造成任何破壞,旨在發現應用本身的安全問題,對於存在的安全問題不做深度利用。"
朱易翔則表示:"通過這個測試,我們想把結果傳達給兩個群體,一個是重視發展而忽視安全維護的金融企業,另一個是金融APP的使用用戶。我們想在這個領域拉響警報。同時,未來也會涉及生活、社交APP的資訊安全領域。"
中國資訊通信研究院安全研究所軟體測評部主任戈志勇説,"如果能夠為APP開發制定一套詳細的安全規範和測試安全標準,必將有效地降低金融以及其他類APP安全問題發生的概率。希望通過全面深入的實際測試,總結出一套APP應該遵循的安全規範和測試安全標準,併為後續開發人員提供指導。"
國家電腦病毒防禦工程實驗室研究室負責人、國家漏洞庫首批特聘專家魏強表示,"資訊安全問題現在已經客觀存在,這是直接關乎人民財産安全的事。在發生問題之前或問題大規模浮出水面之前,能夠防患于未然,這是《白皮書》的目的。"《白皮書》由中國資訊通信研究院資訊産業通信軟體評測中心、移動網際網路系統與應用安全國家工程實驗室和上海掌禦資訊科技有限公司等3家單位完成檢測,上海微令資訊科技有限公司校園司令參與,上海淳粹文化傳媒有限公司聯合撰寫並獨家發佈。"一旦不法分子利用此類APP中存在的安全漏洞進行攻擊,輕則盜竊無辜民眾的財産,重則擾亂金融市場秩序,甚至對國家和社會的安全穩定發展造成極大負面影響。"上海淳粹文化傳媒有限公司創始人兼CEO曾國偉表示,"這次發佈《白皮書》的目的在於促進移動網際網路金融安全生態發展,提高網際網路金融企業移動應用安全水準,實現用戶和企業共贏。"
據《白皮書》統計,近三年來,目前記錄在案的所有出現重大問題的網際網路金融平臺統計如下:2014年為254個,佔所有出現重大問題平臺的18.86%;2015年為746個,佔總數的55.38%;2016上半年共出現268個,佔總數的19.90%。《白皮書》指出,雖然2016年似乎呈現出下降趨勢,但網際網路金融平臺問題高發時間段主要在金融業結算、兌付頻率較高的下半年,所以這表面上看似的"一點點下降趨勢"並非真實。
2015年開始,網貸平臺的問題逐漸浮出水面。從e租寶、校園貸的醜聞,到大學生網貸引發的"裸條"事件;從提現困難、開發商跑路,升級到經偵介入。這些案件將大眾視野吸引到了金融安全問題的同時,一個更深層次的安全問題卻被忽略了。中國資訊通信研究院安全研究所副所長王勇認為,人們對於網際網路金融的關注點很多,包括風控、資産安全、資産流程安全,但沒有一家去關注網際網路金融網貸的APP本身是否安全。
移動網際網路系統與應用安全國家工程實驗室高級研究員朱易翔表示,"移動網際網路金融作為移動網際網路與金融的雙重結合,其安全要求也具有了雙重性,一方面是資金安全,這是金融的底線;另一方面就是移動網際網路安全,也就是資訊安全。"
亟待修復
記者打開手機客戶端,在手機商店搜索欄輸入"金融"、"理財"等字樣,"大麥理財"、"PP理財"、"銅掌櫃理財"、"開鑫貸"等琳瑯滿目的金融信貸類App佔據了手機螢幕。中國電信股份有限公司上海研究院副院長張明傑認為,"隨著中國網際網路消費金融市場的發展、政策試點擴大範圍、央行開放徵信牌照、從網際網路巨頭到新興創業公司都開始佈局消費金融,這是發展趨勢"。
麥肯錫公司在其發佈的《中國銀行(3.430, 0.01, 0.29%)業創新系列報告》中稱:2015年底,中國網際網路金融的市場規模達到12-15萬億元,佔GDP的近20%,網際網路金融用戶人數也超過5億成為世界第一。數億的用戶基數,使得移動網際網路金融産品資訊安全問題被提升到社會問題的高度。
根據網際網路專業平臺"網貸之家"的數據統計,僅2016年第一季度,國內APP市場上就已新增超過100家相對穩定運營的網際網路金融APP,為用戶提供相關産品和服務。而早在2014年,普華永道便有統計數據顯示,中國移動網際網路金融呈現爆髮式增長,全年交易額超過20萬億人民幣。主要的網際網路金融模式包括第三方支付、線上理財、P2P網貸、直銷銀行、網際網路保險及網際網路眾籌等。
中國第三方移動數據服務平臺TalkingData發佈的《2015年移動網際網路年度盤點》報告顯示,移動金融理財領域的用戶規模目前超過8.2億,這在中國12.8億的總移動網際網路用戶中佔比超過60%,滲透率還在持續升高。報告提出,從用戶行為上看,金融理財應用的安裝數量和打開數量遙遙領先於餐飲、旅遊、出行、醫療等行業,且涉及的財産數量巨大。
中國資訊通信研究院安全研究所副所長王勇説,"APP安全特別是金融類APP的安全,是國家、開發商、用戶三方面共同的需求。"
《移動網際網路金融APP資訊安全現狀白皮書》指出,在金融APP領域,也亟需從國家、政府層面上推行相關的政策,強制要求APP開發商和運營企業接受安全檢測,遵守安全規範,從而進一步推動移動網際網路金融安全工作,提高系統安全水準。
對於目前網際網路金融類信貸APP的資訊安全現狀,上海掌禦資訊科技有限公司CTO李卷孺表達了自己的擔憂,"網際網路金融類信貸APP目前大多處於非常不安全的狀態。APP的安全系數並不與開發商企業規模呈正相關,開發廠商的安全意識和重視程度很關鍵。"目前國外著名的 IT企業包括 Google、Facebook、Twitter、蘋果、Paypal等都有安全獎勵計劃,鼓勵安全諮詢企業幫助修復安全漏洞。
2015年底,工業和資訊化部對《移動智慧終端應用軟體(APP)預置和分發管理暫行規定》公開徵求意見,並將於年內正式發佈實施,以規範APP預置和分發,要求智慧手機應用程式內置和上架分發前進行安全測試,並組織第三方評估和抽查,而且相關的國家實驗室和研究院都參與到其中。
[責任編輯:葛新燕]