2015年互联网金融安卓APP安全漏洞检测报告

2015年,互联网金融发展依然强劲,其领域内的各细分市场交易规模十分可观。2015年中国P2P交易规模达到了9823亿元,银联网络转接交易金额53.9万亿元,第三方互联网支付金额达11.9万亿,基金电子商务交易规模达7.8万亿等等。同时,大批投资者、创业者强势进入市场,行业融资额度再创新高。

爆发式的行业发展和交易规模的增长,吸引了大量资本进入,同时也吸引了黑产的注意。互联网金融中的资质风险、管理风险、资金风险和技术风险这四大风险中,技术风险已经被推到风口浪尖。

网蛙科技根据2015各大年度榜单(参考艾媒咨询、艾瑞网、互联网周刊、应用宝、猎豹移动等APP排行榜榜单),对P2P行业、移动支付行业、银行系统这互联网金融三大重要板块的APP榜单产品做了漏洞扫描检测,同时对两类移动应用商店上架的2.5万个互联网金融安卓APP进行了漏洞扫描检测,以下为检测结果(全文涉及检测数据均为市场发行的该APP最新版本漏洞扫描检测结果数据)。

P2P行业榜单APP检测,15款产品平均漏洞超12个

网蛙科技检测结果显示,P2P的15款APP榜单产品,检测到漏洞总数达189个,单个漏洞数最高达18个,按榜单排名,前三名APP的漏洞数分别多达13个、9个和12个。

P2P行业的吸金能力与其安全防护能力不成正比,以榜单中的4家APP为例,他们的2015年累计成交额分别达到196亿、118亿、118亿和92亿,而存在的漏洞数目则分别为17个、17个、12个和8个。

早在2014年,中国的P2P平台就有全世界黑客“宰割的羔羊”之称,这种情况一直延续到2015年并没有发生明显的变化。以网贷系统为例,2014年,晓风网贷系统漏洞导致百余家网贷平台被黑客侵入,直接涉及金钱交易,引发业内人士对P2P安全问题的高度关注。但是截至2015年,P2P行业依然多次出现因漏洞导致的安全事故。2015年共出现677家P2P问题平台,85%以上问题平台因黑客攻击漏洞而倒闭或跑路,其中,200家为绿麻雀网贷系统开发,118家为晓风网贷系统开发,89家为融都开发。

P2P行业发展到现在,沉淀了庞大的客户数据和资金交易额,9823亿元的年度交易规模和频繁发生的被黑事件形成强烈对比,证实安全问题已经迫在眉睫,P2P的行业从业者应敲响警钟,时刻检视自身的安全情况。

移动支付行业榜单APP检测,10款产品最高漏洞达20个

网蛙科技检测结果显示,10款在线理财APP榜单产品,检测到漏洞总数达134个,平均漏洞数超13个,按榜单排名,前三名APP的漏洞数分别多达15个、18个和7个。

2015年三季度,第三方支付交易量首次实现支付方式的占比超越互联网支付,与此形成鲜明对比的是,近几年移动支付频发的安全事件。2014年,上海市公安机关侦破黑客利用某第三方支付平台漏洞恶意“刷库”盗窃案件,涉案资金超20余万元;2015年,1月,中国人民银行指出某支付机构泄露了上千万张银行卡信息,涉及全国16家银行,截至7月31日由于伪卡形成的损失已达3900多万元;6月,珠海市公安机关侦破一宗黑客盗取支付宝资金的特大系列案件,涉及地域横跨广东、黑龙江、四川、上海和浙江等5省(市)。

2015年,中国人民银行发布了《非银行支付机构网络支付业务管理办法(征求意见稿)》,同时披露当前移动支付行业的部分安全现状:部分支付机构风险意识薄弱,客户资金和信息安全机制缺失,安全控制措施不到位,对消费者的信息和财产安全构成严重威胁,甚至可能将相关风险引导至消费者的银行账户。

移动支付发展到今天,业内人称为“野蛮生长”的时期即将结束。一方面,国家逐步推出相关的法律法规,如《非金融机构支付服务管理办法》、《非金融机构支付服务业务系统检测认证管理规定》等;另一方面,行业本身也开始回归理性,安全自律将成为行业本身的要求。一味追求支付便捷而忽视支付安全的发展方式将退出市场主流,移动支付企业应提早加强自身相关安全工作。

银行系统榜单APP检测,11款产品漏洞超过10个

网蛙科技检测结果显示,15款银行系统APP榜单产品,检测到漏洞总数达162个,平均漏洞数超10个,按榜单排名,前三名APP的漏洞数分别多达3个、4个和15个。

随着互联网金融市场的扩张,银行行业将“互联网化”从单纯的业务层面提升至战略层面,以应对互联网的冲击,截止2015年8月,从工农建到地方银行,都推出了自己银行的APP。与“银行系统安全可靠”的这一消费者传统认知不同的是,移动端的安全系数并不高。2014年一季度,金融类应用中,银行APP受害比例为13.6%,排入前三,仅次于电商支付平台的APP和理财产品的APP。2015年,《中国经营报》报道工行支付存在漏洞,“e支付”短信验证码被截取,数十名储户银行存款被盗。

2015年,全国个人手机银行用户比例为32%,同比增长14.5%,同时柜台及网上业务向APP迁移趋势明显。不同于一般的互联网金融企业,银行系统的APP背后关联着银行自身多年沉淀的海量数据信息和庞大资产体量,一旦失守,后果不堪设想。APP作为新开放的入口,银行系统应将其安全工作当成重中之重,严防黑客通过APP端侵入。

应用商店不完全检测,互联网金融APP单款平均漏洞超35个

网蛙科技对当前市场上两类应用商店的互联网金融APP进行检测,分别为豌豆荚、应用宝、360手机助手等知名独立第三方应用商店,以及小米应用商店、华为应用市场等终端厂商自建的应用商店。 

据不完全统计(本段漏洞数据均特指互联网金融类APP),截止2015年12月,手机应用商店中的漏洞总数超过88万,高危漏洞占比14%,单个应用商店的最高漏洞数目超过19万个,其中第三方应用商店的平均漏洞数目超过25万个,终端厂商自建的应用商店漏洞数目平均达到4万个,第三方应用商店的安全系数相对低于终端厂商自建的应用商店。

从当前市场APP下载情况来看,APP下载渠道占比最高的为第三方应用商店(占比54%),其次为终端厂商自建的应用商店(占比34%),这两大类应用商店是当前用户下载APP的主要渠道。互联网金融APP漏洞检测结果反映出当前市场上的金融类APP的安全工作亟待加强,也同时反映出应用商店安全检测工作不到位,无法完全保障上架APP安全。互联网金融行业比其他行业更紧密地触及财产信息与隐私信息等,互联网金融APP的安全,是用户、企业、应用商店乃至整个国家的硬需求。2016年,应用商店需要在安全检测方面做更多工作。

2015年互联网金融APP漏洞比例一览

检测结果显示,2015年,互联网金融APP的高中低危漏洞分布呈现中间大两头小的态势。

中危漏洞占比最高,超过60%,影响了绝大多数的互联网金融APP。中低危漏洞的防护难度相对较低,大多企业可以通过加强安全工作来杜绝中低危漏洞。

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!