2016年5月4日，來(lái)自移動(dòng)網(wǎng)際網(wǎng)路系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室的4人、來(lái)自中國(guó)資訊通信研究院資訊産業(yè)通信軟體評(píng)測(cè)中心的 3人和來(lái)自上海掌禦資訊科技有限公司的4人，共同組成了一個(gè)檢測(cè)團(tuán)隊(duì)。

　　此後的29天時(shí)間，這11名資深移動(dòng)應(yīng)用安全專(zhuān)家泡在移動(dòng)網(wǎng)際網(wǎng)路系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室裏，針對(duì)網(wǎng)際網(wǎng)路金融安全平臺(tái)"網(wǎng)貸之家"中2015年發(fā)展指數(shù)前100名的網(wǎng)際網(wǎng)路金融公司旗下的Android移動(dòng)應(yīng)用進(jìn)行資訊安全評(píng)估，並對(duì)樣本中的88個(gè)網(wǎng)際網(wǎng)路金融類(lèi)移動(dòng)應(yīng)用APP進(jìn)行了深入測(cè)試，發(fā)現(xiàn)了十大隱患。

　　8月19日，這個(gè)檢測(cè)團(tuán)隊(duì)對(duì)88個(gè)網(wǎng)際網(wǎng)路金融類(lèi)移動(dòng)應(yīng)用APP的檢測(cè)結(jié)果以《移動(dòng)網(wǎng)際網(wǎng)路金融APP資訊安全現(xiàn)狀白皮書(shū)》（簡(jiǎn)稱(chēng)《白皮書(shū)》）形式正式發(fā)佈。《白皮書(shū)》內(nèi)容顯示，當(dāng)前國(guó)內(nèi)移動(dòng)網(wǎng)際網(wǎng)路金融APP資訊安全存在著以下十大安全隱患：資訊數(shù)據(jù)明文發(fā)送、通信數(shù)據(jù)可解密、敏感數(shù)據(jù)本地可破解、調(diào)試資訊泄漏、敏感資訊泄漏、密碼學(xué)誤用、功能洩露、可二次打包、可調(diào)試、代碼可逆向等。

　　技術(shù)漏洞

　　現(xiàn)實(shí)問(wèn)題可能比檢測(cè)情況更加嚴(yán)重。

　　上海掌禦資訊科技有限公司CTO李卷孺直接參與了檢測(cè)的整個(gè)過(guò)程，他對(duì)經(jīng)濟(jì)觀察報(bào)説："我們選擇檢測(cè)的88個(gè)網(wǎng)貸平臺(tái)屬於相對(duì)規(guī)模較大的。目前國(guó)內(nèi)已知存在的網(wǎng)貸平臺(tái)有4000多個(gè)，其數(shù)量遠(yuǎn)遠(yuǎn)大於我們的檢測(cè)數(shù)量，很多不成熟的網(wǎng)際網(wǎng)路金融網(wǎng)貸APP的開(kāi)發(fā)，採(cǎi)用了通用的技術(shù)架構(gòu)，其技術(shù)漏洞可能比我們檢測(cè)的這一批還要差。"

　　另一位參與評(píng)測(cè)的內(nèi)部人員告訴經(jīng)濟(jì)觀察報(bào)，"在我們測(cè)試過(guò)程中發(fā)現(xiàn)，有些在移動(dòng)市場(chǎng)比較知名的網(wǎng)際網(wǎng)路金融APP甚至存在著很低級(jí)的漏洞，其中一家還是上市公司。"

　　針對(duì)為何只選取88家公佈評(píng)測(cè)結(jié)果這個(gè)問(wèn)題，中國(guó)資訊通信研究院安全研究所軟體測(cè)評(píng)部主任戈志勇對(duì)經(jīng)濟(jì)觀察報(bào)説："我們選的是用戶量和活躍度最高的前100家。考慮到企業(yè)影響和可能帶來(lái)的駭客攻擊，我們不會(huì)公佈十大不安全的APP名單。"即便如此，用戶依然可以根據(jù)《白皮書(shū)》名單和2015年百?gòu)?qiáng)信貸APP名單進(jìn)行比對(duì)，依此挑選安全性相對(duì)較高的網(wǎng)貸APP。

　　在樣本系統(tǒng)選取上，為何選擇Android系統(tǒng)而非IOS系統(tǒng)，負(fù)責(zé)白皮書(shū)撰寫(xiě)工作的朱易翔表示："從使用數(shù)量上看，在中國(guó)，Android用戶群多於IOS用戶，影響範(fàn)圍會(huì)更廣泛，更具有代表性；在系統(tǒng)審核上，比起IOS的封閉系統(tǒng)，Android系統(tǒng)相對(duì)開(kāi)放，檢測(cè)所需時(shí)間較短，相對(duì)成本低、效率高。"李卷孺則對(duì)此做了補(bǔ)充："從技術(shù)層面上講，Android存在的問(wèn)題，IOS也可能會(huì)存在。IOS系統(tǒng)上的網(wǎng)貸APP相比Android要少，也是我們選擇Android的原因之一。"

　　據(jù)戈志勇介紹，與傳統(tǒng)的安全測(cè)試相比，團(tuán)隊(duì)討論提出了基於代碼安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)傳輸安全、網(wǎng)路服務(wù)介面安全和多方交互流程安全這五大安全測(cè)試內(nèi)容的新一代測(cè)試標(biāo)準(zhǔn)。"測(cè)試發(fā)現(xiàn)，參與測(cè)試的大部分APP均存在加密演算法誤用、加密協(xié)議實(shí)現(xiàn)不正確、不完整的情況，並且在保護(hù)用戶的交易資訊、防止交易被篡改、防止用戶身份被盜用方面表現(xiàn)不佳。"朱易翔説。

　　普通用戶在使用金融APP的普通使用流程為：用Wi-Fi下載和安裝APP，通過(guò)APP註冊(cè)金融服務(wù)賬號(hào)，綁定手機(jī)、註冊(cè)郵箱和銀行卡等個(gè)人資訊，最後通過(guò)註冊(cè)賬號(hào)發(fā)起金融交易。李卷孺認(rèn)為，在這個(gè)過(guò)程中，駭客存在大量可乘之機(jī)。他解釋道："特別是在使用不可信的公共Wi-Fi網(wǎng)路環(huán)境時(shí)，有可能存在惡意駭客進(jìn)行網(wǎng)路竊聽(tīng)和操控。"

　　李卷孺還進(jìn)一步闡述了駭客竊取用戶資訊的一般流程："駭客可能會(huì)惡意偽造Wi-Fi網(wǎng)路並監(jiān)聽(tīng)數(shù)據(jù)，從而獲得用戶名和密碼等重要數(shù)據(jù)或資訊，並嘗試攔截並篡改數(shù)據(jù)請(qǐng)求，例如將手機(jī)號(hào)篡改。人們收到的一切認(rèn)證資訊都來(lái)自駭客的轉(zhuǎn)發(fā)。在用戶毫不知情的情況下，隱私資訊或重要數(shù)據(jù)被竊取了。駭客還有可能進(jìn)一步進(jìn)行偽造交易等嚴(yán)重的惡意攻擊。"

　　安全底線

　　針對(duì)檢測(cè)團(tuán)隊(duì)對(duì)88個(gè)網(wǎng)際網(wǎng)路金融類(lèi)移動(dòng)應(yīng)用APP的檢測(cè)發(fā)現(xiàn)的十大安全隱患，《白皮書(shū)》指出，構(gòu)建權(quán)威性的安全標(biāo)準(zhǔn)、政策推動(dòng)、構(gòu)建企業(yè)廣泛參與的安全生態(tài)、提高國(guó)民資訊安全意識(shí)等都成為實(shí)現(xiàn)網(wǎng)貸資訊安全的重點(diǎn)。

　　針對(duì)《白皮書(shū)》的檢測(cè)結(jié)果，李卷孺説："本次檢測(cè)不對(duì)企業(yè)數(shù)據(jù)、用戶隱私造成任何破壞，旨在發(fā)現(xiàn)應(yīng)用本身的安全問(wèn)題，對(duì)於存在的安全問(wèn)題不做深度利用。"

　　朱易翔則表示："通過(guò)這個(gè)測(cè)試，我們想把結(jié)果傳達(dá)給兩個(gè)群體，一個(gè)是重視發(fā)展而忽視安全維護(hù)的金融企業(yè)，另一個(gè)是金融APP的使用用戶。我們想在這個(gè)領(lǐng)域拉響警報(bào)。同時(shí)，未來(lái)也會(huì)涉及生活、社交APP的資訊安全領(lǐng)域。"

　　中國(guó)資訊通信研究院安全研究所軟體測(cè)評(píng)部主任戈志勇説，"如果能夠?yàn)锳PP開(kāi)發(fā)制定一套詳細(xì)的安全規(guī)範(fàn)和測(cè)試安全標(biāo)準(zhǔn)，必將有效地降低金融以及其他類(lèi)APP安全問(wèn)題發(fā)生的概率。希望通過(guò)全面深入的實(shí)際測(cè)試，總結(jié)出一套APP應(yīng)該遵循的安全規(guī)範(fàn)和測(cè)試安全標(biāo)準(zhǔn)，併為後續(xù)開(kāi)發(fā)人員提供指導(dǎo)。"

　　國(guó)家電腦病毒防禦工程實(shí)驗(yàn)室研究室負(fù)責(zé)人、國(guó)家漏洞庫(kù)首批特聘專(zhuān)家魏強(qiáng)表示，"資訊安全問(wèn)題現(xiàn)在已經(jīng)客觀存在，這是直接關(guān)乎人民財(cái)産安全的事。在發(fā)生問(wèn)題之前或問(wèn)題大規(guī)模浮出水面之前，能夠防患于未然，這是《白皮書(shū)》的目的。"《白皮書(shū)》由中國(guó)資訊通信研究院資訊産業(yè)通信軟體評(píng)測(cè)中心、移動(dòng)網(wǎng)際網(wǎng)路系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室和上海掌禦資訊科技有限公司等3家單位完成檢測(cè)，上海微令資訊科技有限公司校園司令參與，上海淳粹文化傳媒有限公司聯(lián)合撰寫(xiě)並獨(dú)家發(fā)佈。"一旦不法分子利用此類(lèi)APP中存在的安全漏洞進(jìn)行攻擊，輕則盜竊無(wú)辜民眾的財(cái)産，重則擾亂金融市場(chǎng)秩序，甚至對(duì)國(guó)家和社會(huì)的安全穩(wěn)定發(fā)展造成極大負(fù)面影響。"上海淳粹文化傳媒有限公司創(chuàng)始人兼CEO曾國(guó)偉表示，"這次發(fā)佈《白皮書(shū)》的目的在於促進(jìn)移動(dòng)網(wǎng)際網(wǎng)路金融安全生態(tài)發(fā)展，提高網(wǎng)際網(wǎng)路金融企業(yè)移動(dòng)應(yīng)用安全水準(zhǔn)，實(shí)現(xiàn)用戶和企業(yè)共贏。"

　　據(jù)《白皮書(shū)》統(tǒng)計(jì)，近三年來(lái)，目前記錄在案的所有出現(xiàn)重大問(wèn)題的網(wǎng)際網(wǎng)路金融平臺(tái)統(tǒng)計(jì)如下：2014年為254個(gè)，佔(zhàn)所有出現(xiàn)重大問(wèn)題平臺(tái)的18.86%；2015年為746個(gè)，佔(zhàn)總數(shù)的55.38%；2016上半年共出現(xiàn)268個(gè)，佔(zhàn)總數(shù)的19.90%。《白皮書(shū)》指出，雖然2016年似乎呈現(xiàn)出下降趨勢(shì)，但網(wǎng)際網(wǎng)路金融平臺(tái)問(wèn)題高發(fā)時(shí)間段主要在金融業(yè)結(jié)算、兌付頻率較高的下半年，所以這表面上看似的"一點(diǎn)點(diǎn)下降趨勢(shì)"並非真實(shí)。

　　2015年開(kāi)始，網(wǎng)貸平臺(tái)的問(wèn)題逐漸浮出水面。從e租寶、校園貸的醜聞，到大學(xué)生網(wǎng)貸引發(fā)的"裸條"事件；從提現(xiàn)困難、開(kāi)發(fā)商跑路，升級(jí)到經(jīng)偵介入。這些案件將大眾視野吸引到了金融安全問(wèn)題的同時(shí)，一個(gè)更深層次的安全問(wèn)題卻被忽略了。中國(guó)資訊通信研究院安全研究所副所長(zhǎng)王勇認(rèn)為，人們對(duì)於網(wǎng)際網(wǎng)路金融的關(guān)注點(diǎn)很多，包括風(fēng)控、資産安全、資産流程安全，但沒(méi)有一家去關(guān)注網(wǎng)際網(wǎng)路金融網(wǎng)貸的APP本身是否安全。

　　移動(dòng)網(wǎng)際網(wǎng)路系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室高級(jí)研究員朱易翔表示，"移動(dòng)網(wǎng)際網(wǎng)路金融作為移動(dòng)網(wǎng)際網(wǎng)路與金融的雙重結(jié)合，其安全要求也具有了雙重性，一方面是資金安全，這是金融的底線；另一方面就是移動(dòng)網(wǎng)際網(wǎng)路安全，也就是資訊安全。"

　　亟待修復(fù)

　　記者打開(kāi)手機(jī)客戶端，在手機(jī)商店搜索欄輸入"金融"、"理財(cái)"等字樣，"大麥理財(cái)"、"PP理財(cái)"、"銅掌櫃理財(cái)"、"開(kāi)鑫貸"等琳瑯滿目的金融信貸類(lèi)App佔(zhàn)據(jù)了手機(jī)螢?zāi)弧Ｖ袊?guó)電信股份有限公司上海研究院副院長(zhǎng)張明傑認(rèn)為，"隨著中國(guó)網(wǎng)際網(wǎng)路消費(fèi)金融市場(chǎng)的發(fā)展、政策試點(diǎn)擴(kuò)大範(fàn)圍、央行開(kāi)放徵信牌照、從網(wǎng)際網(wǎng)路巨頭到新興創(chuàng)業(yè)公司都開(kāi)始佈局消費(fèi)金融，這是發(fā)展趨勢(shì)"。

　　麥肯錫公司在其發(fā)佈的《中國(guó)銀行(3.430, 0.01, 0.29%)業(yè)創(chuàng)新系列報(bào)告》中稱(chēng)：2015年底，中國(guó)網(wǎng)際網(wǎng)路金融的市場(chǎng)規(guī)模達(dá)到12-15萬(wàn)億元，佔(zhàn)GDP的近20%，網(wǎng)際網(wǎng)路金融用戶人數(shù)也超過(guò)5億成為世界第一。數(shù)億的用戶基數(shù)，使得移動(dòng)網(wǎng)際網(wǎng)路金融産品資訊安全問(wèn)題被提升到社會(huì)問(wèn)題的高度。

　　根據(jù)網(wǎng)際網(wǎng)路專(zhuān)業(yè)平臺(tái)"網(wǎng)貸之家"的數(shù)據(jù)統(tǒng)計(jì)，僅2016年第一季度，國(guó)內(nèi)APP市場(chǎng)上就已新增超過(guò)100家相對(duì)穩(wěn)定運(yùn)營(yíng)的網(wǎng)際網(wǎng)路金融APP，為用戶提供相關(guān)産品和服務(wù)。而早在2014年，普華永道便有統(tǒng)計(jì)數(shù)據(jù)顯示，中國(guó)移動(dòng)網(wǎng)際網(wǎng)路金融呈現(xiàn)爆髮式增長(zhǎng)，全年交易額超過(guò)20萬(wàn)億人民幣。主要的網(wǎng)際網(wǎng)路金融模式包括第三方支付、線上理財(cái)、P2P網(wǎng)貸、直銷(xiāo)銀行、網(wǎng)際網(wǎng)路保險(xiǎn)及網(wǎng)際網(wǎng)路眾籌等。

　　中國(guó)第三方移動(dòng)數(shù)據(jù)服務(wù)平臺(tái)TalkingData發(fā)佈的《2015年移動(dòng)網(wǎng)際網(wǎng)路年度盤(pán)點(diǎn)》報(bào)告顯示，移動(dòng)金融理財(cái)領(lǐng)域的用戶規(guī)模目前超過(guò)8.2億，這在中國(guó)12.8億的總移動(dòng)網(wǎng)際網(wǎng)路用戶中佔(zhàn)比超過(guò)60%，滲透率還在持續(xù)升高。報(bào)告提出，從用戶行為上看，金融理財(cái)應(yīng)用的安裝數(shù)量和打開(kāi)數(shù)量遙遙領(lǐng)先於餐飲、旅遊、出行、醫(yī)療等行業(yè)，且涉及的財(cái)産數(shù)量巨大。

　　中國(guó)資訊通信研究院安全研究所副所長(zhǎng)王勇説，"APP安全特別是金融類(lèi)APP的安全，是國(guó)家、開(kāi)發(fā)商、用戶三方面共同的需求。"

　　《移動(dòng)網(wǎng)際網(wǎng)路金融APP資訊安全現(xiàn)狀白皮書(shū)》指出，在金融APP領(lǐng)域，也亟需從國(guó)家、政府層面上推行相關(guān)的政策，強(qiáng)制要求APP開(kāi)發(fā)商和運(yùn)營(yíng)企業(yè)接受安全檢測(cè)，遵守安全規(guī)範(fàn)，從而進(jìn)一步推動(dòng)移動(dòng)網(wǎng)際網(wǎng)路金融安全工作，提高系統(tǒng)安全水準(zhǔn)。

　　對(duì)於目前網(wǎng)際網(wǎng)路金融類(lèi)信貸APP的資訊安全現(xiàn)狀，上海掌禦資訊科技有限公司CTO李卷孺表達(dá)了自己的擔(dān)憂，"網(wǎng)際網(wǎng)路金融類(lèi)信貸APP目前大多處?kù)斗浅２话踩臓顟B(tài)。APP的安全系數(shù)並不與開(kāi)發(fā)商企業(yè)規(guī)模呈正相關(guān)，開(kāi)發(fā)廠商的安全意識(shí)和重視程度很關(guān)鍵。"目前國(guó)外著名的 IT企業(yè)包括 Google、Facebook、Twitter、蘋(píng)果、Paypal等都有安全獎(jiǎng)勵(lì)計(jì)劃，鼓勵(lì)安全諮詢企業(yè)幫助修復(fù)安全漏洞。

　　2015年底，工業(yè)和資訊化部對(duì)《移動(dòng)智慧終端應(yīng)用軟體（APP）預(yù)置和分發(fā)管理暫行規(guī)定》公開(kāi)徵求意見(jiàn)，並將於年內(nèi)正式發(fā)佈實(shí)施，以規(guī)範(fàn)APP預(yù)置和分發(fā)，要求智慧手機(jī)應(yīng)用程式內(nèi)置和上架分發(fā)前進(jìn)行安全測(cè)試，並組織第三方評(píng)估和抽查，而且相關(guān)的國(guó)家實(shí)驗(yàn)室和研究院都參與到其中。