運營商世界網(wǎng)  王灝/文

8月19日，由中國信息通信研究院信息產(chǎn)業(yè)通信軟件評測中心、移動互聯(lián)網(wǎng)系統(tǒng)與應用安全國家工程實驗室和上海掌御信息科技有限公司共同完成的《2015-2016移動互聯(lián)網(wǎng)金融ＡＰＰ信息安全現(xiàn)狀白皮書》正式發(fā)布。

發(fā)布會在上海通茂大酒店舉行。中國信息通信研究院安全研究所副所長王勇，中國電信股份有限公司上海研究院副院長、移動互聯(lián)網(wǎng)系統(tǒng)與應用安全國家工程實驗室技術委員會副主任張明杰，信息工程大學教授博士生導師、國家計算機病毒防御工程實驗室、研究室負責人、國家漏洞庫首批特聘專家魏強等多位業(yè)界領導、專家，以及眾多媒體參加會議。

隨著中國互聯(lián)網(wǎng)消費金融市場的發(fā)展、政策試點擴大范圍、央行開放征信牌照、從互聯(lián)網(wǎng)巨頭到新興創(chuàng)業(yè)公司都開始布局消費金融。特別是隨著移動互聯(lián)網(wǎng)的普及和推廣，移動互聯(lián)網(wǎng)金融也逐漸成為互聯(lián)網(wǎng)金融的主要服務模式。在移動互聯(lián)網(wǎng)金融大行其道的今天，移動互聯(lián)網(wǎng)改變了用戶的行為習慣，同時也影響了用戶對互聯(lián)網(wǎng)金融產(chǎn)品和服務的獲得手段。正如移動互聯(lián)網(wǎng)系統(tǒng)與應用安全國家工程實驗室高級研究員朱易翔指出的“移動互聯(lián)網(wǎng)金融作為移動互聯(lián)網(wǎng)與金融的雙重結合，安全要求也具有了雙重性，”一方面是資金安全，這是金融的底線；另一方面就是移動互聯(lián)網(wǎng)安全，也就是信息安全。

在互聯(lián)網(wǎng)金融蓬勃的幾年中，許多曾經(jīng)名噪一時的金融平臺都曾曝出各種各樣的問題，不乏因問題嚴重而出現(xiàn)提現(xiàn)困難，甚至跑路的。一些名噪一時的互金案件將大眾視野都吸引到了金融安全上，但一個更為深層次的安全問題卻被公眾所忽視，那就是移動互聯(lián)網(wǎng)金融APP自身存在的技術問題——即一直以來我們幾乎都是從金融角度來關注和評價互聯(lián)網(wǎng)金融平臺的安全性問題的，很少有人能夠從互聯(lián)網(wǎng)信息安全的角度來對其重新審視。

據(jù)中國信息通信研究院安全研究所軟件測評部主任戈志勇介紹，該《白皮書》是采用公開、合法的信息，運用相應的科學研究方法，第一次對當前國內互聯(lián)網(wǎng)金融行業(yè)網(wǎng)貸相關的Android移動應用（APP）做出的信息安全分析評判?！栋灼窓z測對象的信息安全測試完全針對相應移動互聯(lián)網(wǎng)金融平臺自身對外公開發(fā)布的APP程序進行，并對所有抽樣平臺進行同等測試、科學統(tǒng)計、客觀評定，過程無任何主觀因素及人為干預。

根據(jù)《白皮書》提供的內容顯示，當前國內移動互聯(lián)網(wǎng)金融APP信息安全存在著以下十大安全隱患：信數(shù)據(jù)明文發(fā)送、通信數(shù)據(jù)可解密、敏感數(shù)據(jù)本地可破解、調試信息泄漏、敏感信息泄漏、密碼學誤用、功能泄露、可二次打包、可調試、代碼可逆向等。據(jù)項目團隊負責人朱易翔介紹，整個檢測過程耗時29天，對樣本中的88個互聯(lián)網(wǎng)金融類移動應用APP進行了深入測試，發(fā)現(xiàn)了大量安全問題。測試中發(fā)現(xiàn)，參與測試的大部分APP均存在加密算法誤用、加密協(xié)議實現(xiàn)不正確、不完整的情況，并且在保護用戶的交易信息、防止交易被篡改、防止用戶身份被盜用方面表現(xiàn)不佳。有些比較知名的互聯(lián)網(wǎng)金融ＡＰＰ甚至存在很低級的漏洞。

“一旦不法分子利用此類APP中存在的安全漏洞進行攻擊，輕則盜竊無辜民眾財產(chǎn)，重則擾亂金融市場秩序，甚至對國家和社會的安全穩(wěn)定發(fā)展造成極大負面影響。”上海淳粹文化傳媒有限公司創(chuàng)始人兼CEO曾國偉表示，“這次發(fā)布《白皮書》的目的在于促進移動互聯(lián)網(wǎng)金融安全生態(tài)發(fā)展，提高互聯(lián)網(wǎng)金融企業(yè)移動應用安全水平，實現(xiàn)用戶和企業(yè)共贏?！?/span>

《白皮書》指出，在金融APP領域，也亟需從國家、政府層面上推行相關的政策，強制要求APP開發(fā)商和運營企業(yè)接受安全檢測，遵守安全規(guī)范，從而進一步推動移動互聯(lián)網(wǎng)金融安全工作，提高系統(tǒng)安全水平。

戈志勇表示，“如果能夠為APP開發(fā)制定一套詳細的安全規(guī)范和測試安全標準，必將有效地降低金融以及其它類APP安全問題發(fā)生的概率。” 希望通過全面深入的實際測試，總結出一套APP應該遵循的安全規(guī)范和測試安全標準，并為后續(xù)開發(fā)人員提供指導。