網(wǎng)路借貸的風(fēng)險(xiǎn)不僅來(lái)自於運(yùn)營(yíng)者跑路，相關(guān)APP的資訊技術(shù)風(fēng)險(xiǎn)、資訊安全風(fēng)險(xiǎn)似乎更大。

　　最新公佈的《2015-2016移動(dòng)網(wǎng)際網(wǎng)路金融APP資訊安全現(xiàn)狀白皮書》（下稱“白皮書”）稱，目前網(wǎng)貸APP整體安全性並不高，每個(gè)APP都存在不同程度的資訊安全問(wèn)題，70%的APP中的用戶資訊可以被駭客監(jiān)聽(tīng)和篡改。

　　這份白皮書由中國(guó)資訊通信研究院資訊産業(yè)通信軟體評(píng)測(cè)中心、移動(dòng)網(wǎng)際網(wǎng)路系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室和上海掌禦資訊科技有限公司等3家單位完成檢測(cè)，上海微令資訊科技有限公司校園司令參與，上海淳粹文化傳媒有限公司聯(lián)合撰寫。

　　報(bào)告研究對(duì)像是安卓平臺(tái)上88款最流行的移動(dòng)金融APP，這88家也是網(wǎng)路借貸第三方分析研究機(jī)構(gòu)網(wǎng)貸之家2015年評(píng)比的發(fā)展指數(shù)排名前列者。按照網(wǎng)貸之家的數(shù)據(jù)，儘管網(wǎng)際網(wǎng)路金融大整治清理了一批，現(xiàn)存的P2P企業(yè)仍有2000家。而大部分在資訊技術(shù)、資訊安全上似乎並不是太專業(yè)。

　　測(cè)評(píng)結(jié)果顯示，網(wǎng)際網(wǎng)路金融普遍存在加密演算法的誤用、網(wǎng)路傳輸保護(hù)不足、應(yīng)用程式缺乏保護(hù)措施、本地文件及系統(tǒng)日誌敏感資訊泄漏等幾個(gè)方面的問(wèn)題。嚴(yán)重之處在於，個(gè)別APP還存在組件暴露漏洞、可數(shù)據(jù)備份漏洞、Webview遠(yuǎn)端執(zhí)行漏洞、拒絕服務(wù)攻擊漏洞、網(wǎng)路介面攻擊漏洞等等其他安全問(wèn)題。

　　該報(bào)告還列出了移動(dòng)網(wǎng)際網(wǎng)路金融APP資訊安全的十大風(fēng)險(xiǎn)，其中危害最大的是，15%的網(wǎng)際網(wǎng)路金融APP與伺服器端交互的數(shù)據(jù)通過(guò)明文的通信信道傳輸，這可以導(dǎo)致用戶進(jìn)行的金融交易資訊、密碼密碼等秘密數(shù)據(jù)完全暴露在攻擊者面前。駭客不僅可以監(jiān)聽(tīng)用戶進(jìn)行的所有交易資訊，還可以篡改交易內(nèi)容甚至冒充用戶登錄進(jìn)行交易。

　　此外，報(bào)告列舉的風(fēng)險(xiǎn)還包括通訊數(shù)據(jù)可解密、敏感數(shù)據(jù)本地可破解、調(diào)試資訊洩露、敏感資訊洩露、密碼學(xué)誤用、功能洩露、可二次打包、可調(diào)試、代碼可逆向等風(fēng)險(xiǎn)。其中，“可調(diào)試”指的是客戶端APP能夠被調(diào)試，動(dòng)態(tài)的提取、修改運(yùn)作時(shí)的程式數(shù)據(jù)和邏輯；“代碼可逆向”指的是客戶端APP的邏輯能夠被輕易獲取和逆向，得到代碼和程式中的敏感數(shù)據(jù)。以上兩項(xiàng)的風(fēng)險(xiǎn)範(fàn)圍最高，達(dá)到了70%，分別可能導(dǎo)致用戶資訊被監(jiān)聽(tīng)篡改，以及APP被攻擊和倣冒。

　　這份報(bào)告還給出了一份“白名單”，也就是安全性最高的10個(gè)網(wǎng)際網(wǎng)路金融APP，包括開(kāi)鑫貸、大麥理財(cái)、九信金融、PP理財(cái)、愛(ài)投資等，而大家耳熟能詳?shù)年懡鹚⑷巳速J、積木盒子等公司並不在其列。

　　對(duì)此結(jié)果，報(bào)告撰稿人之一、上海掌禦資訊科技有限公司CTO李卷孺表示，APP的安全性跟企業(yè)規(guī)模並不成正比，白名單只是通過(guò)檢測(cè)發(fā)現(xiàn)上述幾家的安全系數(shù)更高，明顯是找了專業(yè)技術(shù)人員多次調(diào)試。

　　李卷孺稱，其實(shí)很多網(wǎng)貸APP的漏洞對(duì)於專業(yè)人員來(lái)説還是顯而易見(jiàn)的，因此需要呼籲業(yè)界在聘用軟體工程師時(shí)側(cè)重資訊安全方面的考量。由於擔(dān)心引發(fā)駭客對(duì)漏洞明顯的網(wǎng)際網(wǎng)路金融APP進(jìn)行攻擊，他們並沒(méi)有對(duì)外公開(kāi)這些公司的名稱，但具體的測(cè)評(píng)報(bào)告是對(duì)受測(cè)公司公開(kāi)的。

　　此外，對(duì)於網(wǎng)貸APP是不是比傳統(tǒng)金融機(jī)構(gòu)APP的安全性更低，李卷孺並不這麼認(rèn)為：“具體情況具體分析，有些傳統(tǒng)金融APP也很容易受攻擊，有些金融機(jī)構(gòu)的網(wǎng)站安全性高，但是手機(jī)客戶端沒(méi)有認(rèn)真做好這一點(diǎn)。”

　　安卓系統(tǒng)上這些APP不安全，那蘋果系統(tǒng)呢？

　　李卷孺認(rèn)為，安卓手機(jī)的應(yīng)用市場(chǎng)太龐雜，且下載太容易：“有時(shí)候發(fā)個(gè)短信、上個(gè)網(wǎng)頁(yè)就能下載，門檻比較低，惡意軟體頻頻出現(xiàn)。”但蘋果也不完全省心，“雖然蘋果為了資訊安全，至今沒(méi)有開(kāi)放通話記錄這個(gè)功能，但是蘋果手機(jī)上的大型應(yīng)用可以直接傳輸通訊錄，只能説蘋果和安卓手機(jī)的風(fēng)險(xiǎn)各有不同。”