８月１９日發(fā)布的《移動互聯(lián)網(wǎng)金融ＡＰＰ信息安全現(xiàn)狀白皮書》顯示，目前國內(nèi)移動互聯(lián)網(wǎng)金融ＡＰＰ存在大量信息安全問題。

這份白皮書是由中國信息通信研究院信息產(chǎn)業(yè)通信軟件評測中心、移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室和上海掌御信息科技有限公司共同完成的。

近年來，移動互聯(lián)網(wǎng)金融正逐漸成為互聯(lián)網(wǎng)金融的主要服務(wù)模式，而且發(fā)展十分迅速。２０１６年第一季度，全國就新增１００家以上的運營相對穩(wěn)定的互聯(lián)網(wǎng)金融ＡＰＰ。

“移動互聯(lián)網(wǎng)金融作為移動互聯(lián)網(wǎng)與金融的雙重結(jié)合，安全要求也具有雙重性。”移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室高級研究員朱易翔指出，一方面是資金安全，這是金融安全的基石；另一方面就是信息安全，這是互聯(lián)網(wǎng)世界的底線。

中國信息通信研究院安全研究所軟件測評部主任戈志勇表示，《白皮書》是采用公開、合法的信息，運用相應(yīng)的科學(xué)研究方法，對當(dāng)前國內(nèi)互聯(lián)網(wǎng)金融行業(yè)網(wǎng)貸相關(guān)的Ａｎｄｒｏｉｄ移動應(yīng)用（ＡＰＰ）做出的信息安全分析評判。

“檢測過程耗時２９天，對樣本中的８８個互聯(lián)網(wǎng)金融類移動應(yīng)用ＡＰＰ進行了深入測試，從中發(fā)現(xiàn)了大量安全問題。”朱易翔介紹，參與測試的大部分ＡＰＰ均存在加密算法誤用、加密協(xié)議實現(xiàn)不正確和不完整的情況，并且在保護用戶的交易信息、防止交易被篡改、防止用戶身份被盜用方面表現(xiàn)不佳。

“測試過程中發(fā)現(xiàn)，有些比較知名的互聯(lián)網(wǎng)金融ＡＰＰ甚至存在很低級的漏洞。”上海掌御信息科技有限公司ＣＴＯ李卷孺介紹，目前國內(nèi)大部分為客戶提供移動金融服務(wù)的ＡＰＰ都缺少規(guī)范的安全監(jiān)管標(biāo)準(zhǔn)和流程，許多ＡＰＰ缺乏對其代碼和業(yè)務(wù)邏輯的充分安全性測試，導(dǎo)致其包含的安全漏洞會將重要的數(shù)據(jù)信息暴露給黑客，將使用該應(yīng)用的客戶置于風(fēng)險之中。

戈志勇表示，希望通過全面深入的實際測試，研究出一套ＡＰＰ應(yīng)該遵循的安全規(guī)范和測試安全標(biāo)準(zhǔn)，并為后續(xù)開發(fā)人員提供指導(dǎo)。