報告：互聯網金融APP存在大量信息安全問題

　　８月１９日發佈的《移動互聯網金融ＡＰＰ信息安全現狀白皮書》顯示，目前國內移動互聯網金融ＡＰＰ存在大量信息安全問題。

　　這份白皮書是由中國信息通信研究院信息産業通信軟體評測中心、移動互聯網系統與應用安全國家工程實驗室和上海掌禦信息科技有限公司共同完成的。

　　近年來，移動互聯網金融正逐漸成為互聯網金融的主要服務模式，而且發展十分迅速。２０１６年第一季度，全國就新增１００家以上的運營相對穩定的互聯網金融ＡＰＰ。

　　“移動互聯網金融作為移動互聯網與金融的雙重結合，安全要求也具有雙重性。”移動互聯網系統與應用安全國家工程實驗室高級研究員朱易翔指出，一方面是資金安全，這是金融安全的基石；另一方面就是信息安全，這是互聯網世界的底線。

　　中國信息通信研究院安全研究所軟體測評部主任戈志勇表示，《白皮書》是採用公開、合法的信息，運用相應的科學研究方法，對當前國內互聯網金融行業網貸相關的Ａｎｄｒｏｉｄ移動應用（ＡＰＰ）做出的信息安全分析評判。

　　“檢測過程耗時２９天，對樣本中的８８個互聯網金融類移動應用ＡＰＰ進行了深入測試，從中發現了大量安全問題。”朱易翔介紹，參與測試的大部分ＡＰＰ均存在加密演算法誤用、加密協議實現不正確和不完整的情況，並且在保護用戶的交易信息、防止交易被篡改、防止用戶身份被盜用方面表現不佳。

　　“測試過程中發現，有些比較知名的互聯網金融ＡＰＰ甚至存在很低級的漏洞。”上海掌禦信息科技有限公司ＣＴＯ李卷孺介紹，目前國內大部分為客戶提供移動金融服務的ＡＰＰ都缺少規範的安全監管標準和流程，許多ＡＰＰ缺乏對其代碼和業務邏輯的充分安全性測試，導致其包含的安全漏洞會將重要的數據信息暴露給駭客，將使用該應用的客戶置於風險之中。

　　戈志勇表示，希望通過全面深入的實際測試，研究出一套ＡＰＰ應該遵循的安全規範和測試安全標準，併為後續開發人員提供指導。（記者劉開雄）