从单独应用扩散到整个行业,问题本质是金融类 APP 的安全
移动互联网金融大行其道,各类互联网金融APP挤满了手机应用商店,在2016年第一季度国内APP市场上就已新增超过100家相对稳定运营的互联网金融APP,为用户提供相关产品和服务。移动互联网改变了用户的行为习惯,同时也影响了用户对互联网金融产品和服务的获得手段。
在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,一个接一个地倒下,其中不乏因问题严重而出现提现困难,甚至跑路的。根据互联网专业平台网贷之家 的数据统计,自2011年有相关正式记录以来,至2016年6月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为1347个。
目前记录在案的所有出现重大问题的互联网金融平台中,单从互联网金融平台最为兴盛的近三年来看,2014年为254个,占所有出现重大问题平台的18.86%;2015年为746个,占总数的55.38%;2016上半年共出现268个,占总数的19.90%。虽然从上半年的数量上看,2016年似乎呈现出了重大问题平台数量一定的下降趋势,但目前仅仅是半年的统计,而互联网金融平台问题高发主要出现在金融业结算、兑付频率较高的下半年,所以这表面上看似的一点点下降趋势并非真实。
尽管这些名噪一时的互金案件将大众视野都吸引到了金融安全上,也使得很多普通用户视所有金融APP为洪水猛兽,提到金融APP必言隐私泄露,但一个更为深层次的安全问题却被公众所忽视——金融APP自身存在的技术问题。
目前国内大部分为客户提供移动金融服务的APP都缺少规范的安全监管标准和流程,许多APP缺乏对其和业务逻辑的充分安全性测试,其原因大多是没有专业的安全测试团队,安全测试仅仅停留在表面,而且对于很多公司来讲专门聘请一个安全团队成本会有些高。这就导致了其包含的安全漏洞会将重要的数据信息暴露给黑客,将使用该应用的客户置于风险之中。
正常情况下,一名普通用户在普通的网络环境(安全的Wifi网络)下载和安装了上述存在问题的APP,然后通过APP去注册了金融服务的账号,并绑定了手机、注册邮箱和银行卡等个人信息。之后,用户通过该账号发起了金融交易。整个过程均为正常的用户使用流程,然而在这个过程中,黑客存在大量可乘之机,可窃取用户的关键信息并最终完成对用户行为的操作,掌握了用户关键信息后,大多会选择交易这些用户隐私数据换取丰厚的报酬,这也从侧面说明了如今骚扰电话的数量日益增多的原因。
据统计,Android应用目前可发现的漏洞,21%存在于APP自身安全漏洞上,5%存在于通信层面上,剩下的全部漏洞均来自服务端,而目前市面上自动化安全测试的工具也仅仅能针对APP的风险代码进行检测和规避,而服务端和通信层面的渗透测试是很多第三方测试机构做不到的。
术业有专攻,专业的开发者与专业的安全行业从业者相比,对于漏洞的发现和危险评估必然是有一定的差距,如果能够为APP开发团队配置专业的第三方安全测试团队,制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类APP安全问题发生的概率,让普通用户重拾对金融类APP乃至整个互联网金融行业的信任。
文/蒲公英内测平台
关键字:产品经理, APP
版权声明
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处。如若内容有涉嫌抄袭侵权/违法违规/事实不符,请点击 举报 进行投诉反馈!