首页 »

你手机里的金融APP安全吗?专家查出10大隐患

2019/9/5 17:12:21

你手机里的金融APP安全吗?专家查出10大隐患

参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。(欲了解各种风险的危害请直接往下拉)


 

移动互联网金融大行其道,据普华永道的统计数据显示,早在2014年,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿元人民币。主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。各类互联网金融APP挤满了手机应用商店,在2016年第一季度国内APP市场上就已新增超过100家相对稳定运营的互联网金融APP。

 

在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,一个接一个地倒下,其中不乏因问题严重而出现提现困难,甚至跑路的。根据互联网专业平台“网贷之家”的数据统计,自2011年有相关正式记录以来,至2016年6月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为1347个。

 

其中,2014年为254个,2015年为746个,2016上半年共出现268个,2016年似乎呈现出了重大问题平台数量一定的下降趋势。但专家指出,目前仅仅是半年的统计,而互联网金融平台问题高发主要出现在金融业结算、兑付频率较高的下半年。

 

名噪一时的互金案件将大众视野都吸引到了金融安全上,但公众忽视了一个更为深层次的安全问题,那就是移动互联网金融APP自身存在的技术问题。移动互联网系统与应用安全国家工程实验室高级研究员朱易翔指出,移动互联网金融对安全的要求具有双重性,一方面是资金安全,这是金融的底线;另一方面是移动互联网安全,也就是信息安全。而信息安全较少被关注。

 

今日,一份名为《移动互联网金融APP信息安全现状白皮书》(以下简称《白皮书》)的检测报告发布,从88个互联网金融类移动应用APP中发现了大量安全问题。该报告由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测,上海微令信息科技有限公司校园司令参与,上海淳粹文化传媒有限公司联合撰写并独家发布。

资料来源:《白皮书》

据中国信息通信研究院安全研究所软件测评部主任戈志勇介绍,该《白皮书》是采用公开、合法的信息,运用相应的科学研究方法,对当前国内互联网金融行业网贷相关的Android移动应用(APP)做出的信息安全分析评判。《白皮书》检测对象的信息安全测试完全针对相应移动互联网金融平台自身对外公开发布的APP程序进行,并对所有抽样平台进行同等测试、科学统计、客观评定,过程无任何主观因素及人为干预。

 

担任项目团队负责人的朱易翔介绍,整个检测过程耗时29天,参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况,并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。

 

目前移动金融理财领域的用户规模目前超过 8.2 亿,在 12.8 亿的总移动互联网用户中占比超过 60%。从用户行为上看,金融理财应用的安装数量和打开数量遥遥领先于餐饮、旅游、出行、医疗等行业,且涉及的财产数量巨大。

 

“一旦不法分子利用此类APP中存在的安全漏洞进行攻击,轻则盗窃无辜民众财产,重则扰乱金融市场秩序,甚至对国家和社会的安全稳定发展造成极大负面影响。”上海淳粹文化传媒有限公司创始人兼CEO曾国伟表示,“这次发布《白皮书》的目的在于促进移动互联网金融安全生态发展,提高互联网金融企业移动应用安全水平,实现用户和企业共赢。”

 

根据《白皮书》提供的内容显示,当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:通信数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

资料来源:《白皮书》

“在我们测试过程中发现,有些在移动市场比较知名的互联网金融APP甚至存在着很低级的漏洞。”上海掌御信息科技有限公司 CTO李卷孺博士介绍。

 

正常情况下,一名普通用户在普通的网络环境(安全的Wifi网络)下载和安装了上述存在问题的APP,然后通过APP去注册了金融服务的账号,并绑定了手机、注册邮箱和银行卡等个人信息。之后,用户通过该账号发起了金融交易。整个过程均为正常的用户使用流程,然而在这个过程中,黑客存在大量可乘之机,可窃取用户的关键信息并最终完成对用户行为的操作。

 

首先,黑客需要在网络上进行窃听,尽管用户使用了正常的安全Wifi网络环境,但是Wifi网络环境只能保证其局域网内部的安全,一旦数据从无线路由器流出到公共网络环境上(并最终进入到金融APP的服务器),在整个路由环节都存在大量的窃听和操控的机会。

 

当黑客发现上述用户行为时(由于上述APP并没有对用户数据进行加密),他只需要监听正常的数据,就可以获得用户的用户名、密码(登陆密码和交易密码)。同时,黑客可以拦截用户的数据请求,并将其修改成自己希望的内容(例如将用户提交注册的手机号换成自己的手机号),这样就完成发了一个中间人攻击。之后,黑客可以将金融APP服务器的认证信息(包括网络端和手机端)转发给用户。用户在这个过程中毫不知情的情况下便被黑客盗取了所有的隐私信息,同时注册设备也被替换为黑客所控制的设备。

 

最后,黑客只需要登陆用户的账户,通过相关的操作,进行银行卡转账购买金融产品、赎回金融产品等操作。而这个过程中用户完全无法察觉,会遭到严重的损失。通常只有等到交易完毕用户才会收到提示信息(甚至完全无法收到信息)。因此,危害十分巨大。

 

《白皮书》指出,在金融APP领域,也亟需从国家、政府层面上推行相关的政策,强制要求APP开发商和运营企业接受安全检测,遵守安全规范,从而进一步推动移动互联网金融安全工作,提高系统安全水平。

 

“如果能够为APP开发制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类APP安全问题发生的概率。”戈志勇表示,希望通过全面深入的实际测试,总结出一套APP应该遵循的安全规范和测试安全标准,并为后续开发人员提供指导。

 

专家呼吁,希望能建立独立第三方检测体系,对移动互联网APP进行检测,更需要国民提高金融安全和信息安全意识,要从保证资金安全及个人信息安全角度认真对待移动互联网金融的普及与发展。

 

专家提醒大爷大妈们,不要轻信推销人员的话,把自己的手机交给陌生人去安装APP,更不要把资金放进这些不明来历的APP中。专家也表示,用户需增强安全防范意识,但也无需太担心。不懂安全的用户是幸福的,安全行业的责任就是保卫用户的幸福——安全行业的信条。

 


移动互联网金融APP信息安全十大风险

 

1、通信数据明文发送

风险描述:客户端APP与服务器端交互的数据通过明文的通信信道传输。

危害指数:★★★★★

该风险可导致用户进行的金融交易信息、密码口令等秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息,还可以篡改交易内容甚至冒充用户登录进行交易。

风险范围:15%

 

2、通信数据可解密

风险描述:客户端APP与服务器端交互的数据加密传输,但数据依然可以被解密。

危害指数:★★★★☆

该风险可导致用户进行的金融交易信息、密码口令等秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息,还可以篡改交易内容甚至冒充用户登录进行交易。

风险范围:10%

 

3、敏感数据本地可破解

风险描述:客户端APP将敏感数据(如登录密码,手势密码等)以明文存储在本地,或加密存储但通过逆向分析程序可以破解该数据。

危害指数:★★★★★

该风险可导致用户存储在手机上的金融交易信息和密码口令等秘密数据完全暴露在攻击者面前。若用户手机遗失,则黑客可以了解用户进行的过的相关交易信息,甚至可以冒充用户登录进行交易。

风险范围:20%

 

4、调试信息泄漏

风险描述:客户端APP将开发时帮助调试的信息打印出来,这些信息通常包含一些敏感的参数,消息的明文等。

危害指数:★★★☆

该风险可导致用户在使用APP过程中发生的金融交易信息等秘密数据会被同一台手机上其它APP任意获取,若同一台手机上安装了恶意软件或相关高风险的信息搜集软件,则相关交易信息可能外泄。

风险范围:30%

 

5、敏感信息泄漏

风险描述:客户端APP代码中泄漏敏感数据,如对称加密密钥,非对称加密中的私钥,认证使用的共享密钥,不应被暴露的后台服务器管理地址等等。

危害指数:★★★★☆

该风险可导致用户进行的金融交易信息、密码口令等秘密数据存在被解密的风险。若解密成功,黑客不仅可以监听用户进行的所有交易信息,还可以篡改交易内容。

风险范围:30%

 

6、密码学误用

风险描述:客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中IV固定,不安全的公钥进行非对称加密等。

危害指数:★★★

该风险可导致用户进行的金融交易信息、密码口令等秘密数据可能会被解密。黑客可以监听用户进行的所有交易信息。

风险范围:40%

 

7、功能泄露

风险描述:客户端APP中高权限的行为和功能(如发送短信,读取联系人等)没有被安全的保护,被其他无授权的应用程序调用或访问。

危害指数:★★★☆

该风险可导致用户相关金融交易可能会被同一台设备上其它APP获取,若其它APP中存在恶意软件,就可以监听用户进行的所有交易信息。

风险范围:35%

 

8、可二次打包

风险描述:客户端APP可被修改代码后,重新打包发布在市场上供用户下载。

危害指数:★★☆

该风险可导致用户容易下载到破解版的APP,用户一旦下载安装这类破解版APP,会导致所有秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息,还可以篡改交易内容甚至冒充用户登录进行交易。

风险范围:50%

 

9、可调试

风险描述:客户端APP能够被调试,动态的提取、修改运行时的程序数据和逻辑。

危害指数:★★☆

该风险可导致用户手机在被恶意软件root之后,进行的金融交易信息、密码口令等秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息,还可以篡改交易内容甚至冒充用户登录进行交易。

风险范围:70%

 

10、代码可逆向

风险描述:客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据。

危害指数:★★

该风险可导致攻击者更为方便的理解程序逻辑,降低攻击门槛,制作仿冒APP。

风险范围:70%

 

题图来源:视觉中国 图片编辑:朱瓅