理财 消费

显示 收起

七成网贷APP存漏洞 用户信息可被监听和篡改(2)

此外,报告列举的风险还包括通讯数据可解密、敏感数据本地可破解、调试信息泄露、敏感信息泄露、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等风险。其中,“可调试”指的是客户端APP能够被调试,动态的提取、修改运行时的程序数据和逻辑;“代码可逆向”指的是客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据。以上两项的风险范围最高,达到了70%,分别可能导致用户信息被监听篡改,以及APP被攻击和仿冒。

这份报告还给出了一份“白名单”,也就是安全性最高的10个互联网金融APP,包括开鑫贷、大麦理财、九信金融、PP理财、爱投资等,而大家耳熟能详的陆金所、人人贷、积木盒子等公司并不在其列。

对此结果,报告撰稿人之一、上海掌御信息科技有限公司CTO李卷孺表示,APP的安全性跟企业规模并不成正比,白名单只是通过检测发现上述几家的安全系数更高,明显是找了专业技术人员多次调试。

李卷孺称,其实很多网贷APP的漏洞对于专业人员来说还是显而易见的,因此需要呼吁业界在聘用软件工程师时侧重信息安全方面的考量。由于担心引发黑客对漏洞明显的互联网金融APP进行攻击,他们并没有对外公开这些公司的名称,但具体的测评报告是对受测公司公开的。

此外,对于网贷APP是不是比传统金融机构APP的安全性更低,李卷孺并不这么认为:“具体情况具体分析,有些传统金融APP也很容易受攻击,有些金融机构的网站安全性高,但是手机客户端没有认真做好这一点。”

安卓系统上这些APP不安全,那苹果系统呢?李卷孺认为,安卓手机的应用市场太庞杂,且下载太容易:“有时候发个短信、上个网页就能下载,门槛比较低,恶意软件频频出现。”但苹果也不完全省心,“虽然苹果为了信息安全,至今没有开放通话记录这个功能,但是苹果手机上的大型应用可以直接传输通讯录,只能说苹果和安卓手机的风险各有不同。”

点击展开全文
↓ 往下拉,下面的文章更精彩 ↓