移动互联网金融大行其道,各类互联网金融 APP 挤满了手机应用商店,在 2016 年第一季度国内 APP 市场上就已新增超过 100 家相对稳定运营的互联网金融 APP ,为用户提供相关产品和服务。移动互联网改变了用户的行为习惯,同时也影响了用户对互联网金融产品和服务的获得手段。
在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,一个接一个地倒下,其中不乏因问题严重而出现提现困难,甚至跑路的。根据互联网专业平台网贷之家 的数据统计,自 2011 年有相关正式记录以来,至 2016 年 6 月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为 1347 个。
目前记录在案的所有出现重大问题的互联网金融平台中,单从互联网金融平台最为兴盛的近三年来看,2014 年为 254 个,占所有出现重大问题平台的 18.86%; 2015 年为 746 个,占总数的 55.38%; 2016 上半年共出现 268 个,占总数的 19.90%。虽然从上半年的数量上看, 2016 年似乎呈现出了重大问题平台数量一定的下降趋势,但目前仅仅是半年的统计,而互联网金融平台问题高发主要出现在金融业结算、兑付频率较高的下半年,所以这表面上看似的一点点下降趋势并非真实。
尽管这些名噪一时的互金案件将大众视野都吸引到了金融安全上,也使得很多普通用户视所有金融 APP 为洪水猛兽,提到金融 APP 必言隐私泄露,但一个更为深层次的安全问题却被公众所忽视——金融 APP 自身存在的技术问题。
目前国内大部分为客户提供移动金融服务的 APP 都缺少规范的安全监管标准和流程,许多 APP 缺乏对其和业务逻辑的充分安全性测试,其原因大多是没有专业的安全测试团队,安全测试仅仅停留在表面,而且对于很多公司来讲专门聘请一个安全团队成本会有些高。这就导致了其包含的安全漏洞会将重要的数据信息暴露给黑客,将使用该应用的客户置于风险之中。
正常情况下,一名普通用户在普通的网络环境(安全的 Wifi 网络)下载和安装了上述存在问题的 APP ,然后通过 APP 去注册了金融服务的账号,并绑定了手机、注册邮箱和银行卡等个人信息。之后,用户通过该账号发起了金融交易。整个过程均为正常的用户使用流程,然而在这个过程中,黑客存在大量可乘之机,可窃取用户的关键信息并最终完成对用户行为的操作,掌握了用户关键信息后,大多会选择交易这些用户隐私数据换取丰厚的报酬,这也从侧面说明了如今骚扰电话的数量日益增多的原因。
据统计, Android 应用目前可发现的漏洞, 21%存在于 APP 自身安全漏洞上, 5%存在于通信层面上,剩下的全部漏洞均来自服务端,而目前市面上自动化安全测试的工具也仅仅能针对 APP 的风险代码进行检测和规避,而服务端和通信层面的渗透测试是很多第三方测试机构做不到的。
术业有专攻,专业的开发者与专业的安全行业从业者相比,对于漏洞的发现和危险评估必然是有一定的差距,如果能够为 APP 开发团队配置专业的第三方安全测试团队,制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类 APP 安全问题发生的概率,让普通用户重拾对金融类 APP 乃至整个互联网金融行业的信任。