2016年5月4日，來自移動互聯網系統與應用安全國家工程實驗室的4人、來自中國信息通信研究院信息產業通信軟件評測中心的 3人和來自上海掌御信息科技有限公司的4人，共同組成了一個檢測團隊。

此后的29天時間，這11名資深移動應用安全專家泡在移動互聯網系統與應用安全國家工程實驗室里，針對互聯網金融安全平臺“網貸之家”中2015年發展指數前100名的互聯網金融公司旗下的Android移動應用進行信息安全評估，并對樣本中的88個互聯網金融類移動應用App進行了深入測試，發現了十大隱患。

8月19日，這個檢測團隊對88個互聯網金融類移動應用App的檢測結果以《移動互聯網金融App信息安全現狀白皮書》(簡稱《白皮書》)形式正式發布。《白皮書》內容顯示，當前國內移動互聯網金融App信息安全存在著以下十大安全隱患：信息數據明文發送、通信數據可解密、敏感數據本地可破解、調試信息泄漏、敏感信息泄漏、密碼學誤用、功能泄露、可二次打包、可調試、代碼可逆向等。

技術漏洞

現實問題可能比檢測情況更加嚴重。

上海掌御信息科技有限公司CTO李卷孺直接參與了檢測的整個過程，他對經濟觀察報說：“我們選擇檢測的88個網貸平臺屬于相對規模較大的。目前國內已知存在的網貸平臺有4000多個，其數量遠遠大于我們的檢測數量，很多不成熟的互聯網金融網貸App的開發，采用了通用的技術架構，其技術漏洞可能比我們檢測的這一批還要差。”

另一位參與評測的內部人員告訴經濟觀察報，“在我們測試過程中發現，有些在移動市場比較知名的互聯網金融App甚至存在著很低級的漏洞，其中一家還是上市公司。”

針對為何只選取88家公布評測結果這個問題，中國信息通信研究院安全研究所軟件測評部主任戈志勇對經濟觀察報說：“我們選的是用戶量和活躍度最高的前100家?？紤]到企業影響和可能帶來的黑客攻擊，我們不會公布十大不安全的App名單。”即便如此，用戶依然可以根據《白皮書》名單和2015年百強信貸App名單進行比對，依此挑選安全性相對較高的網貸App。

在樣本系統選取上，為何選擇Android系統而非IOS系統，負責白皮書撰寫工作的朱易翔表示：“從使用數量上看，在中國，Android用戶群多于IOS用戶，影響范圍會更廣泛，更具有代表性；在系統審核上，比起IOS的封閉系統，Android系統相對開放，檢測所需時間較短，相對成本低、效率高。”李卷孺則對此做了補充：“從技術層面上講，Android存在的問題，IOS也可能會存在。IOS系統上的網貸App相比Android要少，也是我們選擇Android的原因之一。”

據戈志勇介紹，與傳統的安全測試相比，團隊討論提出了基于代碼安全、數據存儲安全、數據傳輸安全、網絡服務接口安全和多方交互流程安全這五大安全測試內容的新一代測試標準。“測試發現，參與測試的大部分App均存在加密算法誤用、加密協議實現不正確、不完整的情況，并且在保護用戶的交易信息、防止交易被篡改、防止用戶身份被盜用方面表現不佳。”朱易翔說。

普通用戶在使用金融App的普通使用流程為：用Wi-Fi下載和安裝App，通過App注冊金融服務賬號，綁定手機、注冊郵箱和銀行卡等個人信息，最后通過注冊賬號發起金融交易。李卷孺認為，在這個過程中，黑客存在大量可乘之機。他解釋道：“特別是在使用不可信的公共Wi-Fi網絡環境時，有可能存在惡意黑客進行網絡竊聽和操控。”

李卷孺還進一步闡述了黑客竊取用戶信息的一般流程：“黑客可能會惡意偽造Wi-Fi網絡并監聽數據，從而獲得用戶名和密碼等重要數據或信息，并嘗試攔截并篡改數據請求，例如將手機號篡改。人們收到的一切認證信息都來自黑客的轉發。在用戶毫不知情的情況下，隱私信息或重要數據被竊取了。黑客還有可能進一步進行偽造交易等嚴重的惡意攻擊。”

安全底線

針對檢測團隊對88個互聯網金融類移動應用App的檢測發現的十大安全隱患，《白皮書》指出，構建權威性的安全標準、政策推動、構建企業廣泛參與的安全生態、提高國民信息安全意識等都成為實現網貸信息安全的重點。

針對《白皮書》的檢測結果，李卷孺說：“本次檢測不對企業數據、用戶隱私造成任何破壞，旨在發現應用本身的安全問題，對于存在的安全問題不做深度利用。”

朱易翔則表示：“通過這個測試，我們想把結果傳達給兩個群體，一個是重視發展而忽視安全維護的金融企業，另一個是金融App的使用用戶。我們想在這個領域拉響警報。同時，未來也會涉及生活、社交App的信息安全領域。”

中國信息通信研究院安全研究所軟件測評部主任戈志勇說，“如果能夠為App開發制定一套詳細的安全規范和測試安全標準，必將有效地降低金融以及其它類App安全問題發生的概率。希望通過全面深入的實際測試，總結出一套App應該遵循的安全規范和測試安全標準，并為后續開發人員提供指導。”

國家計算機病毒防御工程實驗室研究室負責人、國家漏洞庫首批特聘專家魏強表示，“信息安全問題現在已經客觀存在，這是直接關乎人民財產安全的事。在發生問題之前或問題大規模浮出水面之前，能夠防患于未然，這是《白皮書》的目的。”《白皮書》由中國信息通信研究院信息產業通信軟件評測中心、移動互聯網系統與應用安全國家工程實驗室和上海掌御信息科技有限公司等3家單位完成檢測，上海微令信息科技有限公司校園司令參與，上海淳粹文化傳媒有限公司聯合撰寫并獨家發布。“一旦不法分子利用此類App中存在的安全漏洞進行攻擊，輕則盜竊無辜民眾的財產，重則擾亂金融市場秩序，甚至對國家和社會的安全穩定發展造成極大負面影響。”上海淳粹文化傳媒有限公司創始人兼CEO曾國偉表示，“這次發布《白皮書》的目的在于促進移動互聯網金融安全生態發展，提高互聯網金融企業移動應用安全水平，實現用戶和企業共贏。”

據《白皮書》統計，近三年來，目前記錄在案的所有出現重大問題的互聯網金融平臺統計如下：2014年為254個，占所有出現重大問題平臺的18.86%；2015年為746個，占總數的55.38%；2016上半年共出現268個，占總數的19.90%?！栋灼分赋?，雖然2016年似乎呈現出下降趨勢，但互聯網金融平臺問題高發時間段主要在金融業結算、兌付頻率較高的下半年，所以這表面上看似的“一點點下降趨勢”并非真實。

2015年開始，網貸平臺的問題逐漸浮出水面。從e租寶、校園貸的丑聞，到大學生網貸引發的“裸條”事件；從提現困難、開發商跑路，升級到經偵介入。這些案件將大眾視野吸引到了金融安全問題的同時，一個更深層次的安全問題卻被忽略了。中國信息通信研究院安全研究所副所長王勇認為，人們對于互聯網金融的關注點很多，包括風控、資產安全、資產流程安全，但沒有一家去關注互聯網金融網貸的App本身是否安全。

移動互聯網系統與應用安全國家工程實驗室高級研究員朱易翔表示，“移動互聯網金融作為移動互聯網與金融的雙重結合，其安全要求也具有了雙重性，一方面是資金安全，這是金融的底線；另一方面就是移動互聯網安全，也就是信息安全。”

亟待修復

記者打開手機客戶端，在手機商店搜索欄輸入“金融”、“理財”等字樣，“大麥理財”、“PP理財”、“銅掌柜理財”、“開鑫貸”等琳瑯滿目的金融信貸類App占據了手機屏幕。中國電信股份有限公司上海研究院副院長張明杰認為，“隨著中國互聯網消費金融市場的發展、政策試點擴大范圍、央行開放征信牌照、從互聯網巨頭到新興創業公司都開始布局消費金融，這是發展趨勢”。

麥肯錫公司在其發布的《中國銀行業創新系列報告》中稱：2015年底，中國互聯網金融的市場規模達到12-15萬億元，占GDP的近20%，互聯網金融用戶人數也超過5億成為世界第一。數億的用戶基數，使得移動互聯網金融產品信息安全問題被提升到社會問題的高度。

根據互聯網專業平臺“網貸之家”的數據統計，僅2016年第一季度，國內App市場上就已新增超過100家相對穩定運營的互聯網金融App，為用戶提供相關產品和服務。而早在2014年，普華永道便有統計數據顯示，中國移動互聯網金融呈現爆發式增長，全年交易額超過20萬億人民幣。主要的互聯網金融模式包括第三方支付、在線理財、P2P網貸、直銷銀行、互聯網保險及互聯網眾籌等。

中國第三方移動數據服務平臺TalkingData發布的《2015年移動互聯網年度盤點》報告顯示，移動金融理財領域的用戶規模目前超過8.2億，這在中國12.8億的總移動互聯網用戶中占比超過60%，滲透率還在持續升高。報告提出，從用戶行為上看，金融理財應用的安裝數量和打開數量遙遙領先于餐飲、旅游、出行、醫療等行業，且涉及的財產數量巨大。

中國信息通信研究院安全研究所副所長王勇說，“App安全特別是金融類App的安全，是國家、開發商、用戶三方面共同的需求。”

《移動互聯網金融App信息安全現狀白皮書》指出，在金融App領域，也亟需從國家、政府層面上推行相關的政策，強制要求App開發商和運營企業接受安全檢測，遵守安全規范，從而進一步推動移動互聯網金融安全工作，提高系統安全水平。

對于目前互聯網金融類信貸App的信息安全現狀，上海掌御信息科技有限公司CTO李卷孺表達了自己的擔憂，“互聯網金融類信貸App目前大多處于非常不安全的狀態。App的安全系數并不與開發商企業規模呈正相關，開發廠商的安全意識和重視程度很關鍵。”目前國外著名的 IT企業包括 Google、Facebook、Twitter、蘋果、Paypal等都有安全獎勵計劃，鼓勵安全咨詢企業幫助修復安全漏洞。

2015年底，工業和信息化部對《移動智能終端應用軟件(App)預置和分發管理暫行規定》公開征求意見，并將于年內正式發布實施，以規范App預置和分發，要求智能手機應用程序內置和上架分發前進行安全測試，并組織第三方評估和抽查，而且相關的國家實驗室和研究院都參與到其中。