2015年互联网金融安卓APP安全漏洞检测报告

危害性最高的高危漏洞占比为14%,虽然比例不高,但高危漏洞所造成的危害要远大于中低危漏洞,因此需要引起互联网金融APP开发者的高度重视。

高危漏洞危害深远,APP开发者应加强防护

2015年,网蛙科技通过检测发现,大量的金融理财类APP存在WebView不校验证书、HTTPS信任所有主机和Android消息推送等高危漏洞。

仅以Android消息推送漏洞这一逻辑验证漏洞为例,它主要影响Android应用程序的消息推送服务功能,如短信、邮件等。Android的APP如果存在这一漏洞,黑客无须被授权就可以通过它远程攻击窃取受害者Android系统的推送消息,如果发送PendingIntent时未指定接收方包名,或者使用了有漏洞的消息推送服务,如Google、mPush、Amazon、Urban Airship,都受到该漏洞的威胁。

APP安全,从防护漏洞开始

随着互联网的发展,向移动端迁移已成为行业发展的必然趋势。未来的市场上,互联网金融APP将是互联网金融市场乃至金融市场的重要一环。大数据时代,企业如果不重视安全工作这把“达摩克利斯之剑”,一旦落下,将是不可承受之痛。这些年互联网金融企业因为漏洞被黑客利用而倒闭或跑路的案例,应成为所有互联网金融企业的前车之鉴。

政府对于互联网金融行业的发展一直寄予厚望并保持高度关注。2015年,互联网金融被写入政府工作报告,国家总理李克强在两会上公开称赞互联网金融的发展,并希望大力发展普惠金融制度“互联网+”行动计划。与此同时,政府对于互联网金融的安全也从未放松,相关的监管政策正不断地推出并完善,2015年12月,银监会、工信部等多部门联合发布网络借贷管理办法(征求意见稿),标志着高层正式着手整治互联网金融市场乱象。

随着互联网金融移动端的发展,使用场景复杂化,关联行业普遍化以及使用人群多样化,综合导致其安全工作的复杂程度与重要程度远远超过传统Web端,其互联网金融移动端处于一个更开放的网络环境中,开放的接口更多,更容易遭受黑客 攻击。同时因为涉及的领域广泛,使用传统的安全防护手法已经成为一种低效益的选择,建议APP开发者直接从“问题的根源——安全漏洞”保护移动端安全,高性价比地保护自己。

同时对绝大部分的互联网金融APP开发者来说,无法设置专人专岗用以监控应对互联网世界的高频安全威胁,一是绝大部分企业的APP开发者并不具备漏洞或0-day漏洞的挖掘能力,二是漏洞挖掘耗时久,从商业效益上说,企业自行防护漏洞的性价比不高。参考互联网移动端安全发展的轨迹,APP开发者与独立的第三方APP安全企业合作将成为互联网移动端安防的主流趋势,建议APP开发者与0-day漏洞研究团队合作,借助专业的力量,打造更加安全的APP产品。

注:网蛙科技本报告中涉及的第三方数据,援引自2015《互联网金融专题报告》、2015《三季度中国第三方支付市场分析报告》和《2015中国电子银行调查报告》,以及中国银联、艾瑞咨询、艾媒咨询、网贷之家、零壹研究院数据中心、Testin AppBase数据等第三方数据机构,在此表示感谢。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!