2015年,互联网金融发展依然强劲,其领域内的各细分市场交易规模十分可观。2015年中国P2P交易规模达到了9823亿元,银联网络转接交易金额53.9万亿元,第三方互联网支付金额达11.9万亿,基金电子商务交易规模达7.8万亿等等。同时,大批投资者、创业者强势进入市场,行业融资额度再创新高。
爆发式的行业发展和交易规模的增长,吸引了大量资本进入,同时也吸引了黑产的注意。互联网金融中的资质风险、管理风险、资金风险和技术风险这四大风险中,技术风险已经被推到风口浪尖。
网蛙科技根据2015各大年度榜单(参考艾媒咨询、艾瑞网、互联网周刊、应用宝、猎豹移动等APP排行榜榜单),对P2P行业、移动支付行业、银行系统这互联网金融三大重要板块的APP榜单产品做了漏洞扫描检测,同时对两类移动应用商店上架的2.5万个互联网金融安卓APP进行了漏洞扫描检测,以下为检测结果(全文涉及检测数据均为市场发行的该APP最新版本漏洞扫描检测结果数据)。
P2P行业榜单APP检测,15款产品平均漏洞超12个
网蛙科技检测结果显示,P2P的15款APP榜单产品,检测到漏洞总数达189个,单个漏洞数最高达18个,按榜单排名,前三名APP的漏洞数分别多达13个、9个和12个。
P2P行业的吸金能力与其安全防护能力不成正比,以榜单中的4家APP为例,他们的2015年累计成交额分别达到196亿、118亿、118亿和92亿,而存在的漏洞数目则分别为17个、17个、12个和8个。
早在2014年,中国的P2P平台就有全世界黑客“宰割的羔羊”之称,这种情况一直延续到2015年并没有发生明显的变化。以网贷系统为例,2014年,晓风网贷系统漏洞导致百余家网贷平台被黑客侵入,直接涉及金钱交易,引发业内人士对P2P安全问题的高度关注。但是截至2015年,P2P行业依然多次出现因漏洞导致的安全事故。2015年共出现677家P2P问题平台,85%以上问题平台因黑客攻击漏洞而倒闭或跑路,其中,200家为绿麻雀网贷系统开发,118家为晓风网贷系统开发,89家为融都开发。
P2P行业发展到现在,沉淀了庞大的客户数据和资金交易额,9823亿元的年度交易规模和频繁发生的被黑事件形成强烈对比,证实安全问题已经迫在眉睫,P2P的行业从业者应敲响警钟,时刻检视自身的安全情况。
移动支付行业榜单APP检测,10款产品最高漏洞达20个
网蛙科技检测结果显示,10款在线理财APP榜单产品,检测到漏洞总数达134个,平均漏洞数超13个,按榜单排名,前三名APP的漏洞数分别多达15个、18个和7个。
2015年三季度,第三方支付交易量首次实现支付方式的占比超越互联网支付,与此形成鲜明对比的是,近几年移动支付频发的安全事件。2014年,上海市公安机关侦破黑客利用某第三方支付平台漏洞恶意“刷库”盗窃案件,涉案资金超20余万元;2015年,1月,中国人民银行指出某支付机构泄露了上千万张银行卡信息,涉及全国16家银行,截至7月31日由于伪卡形成的损失已达3900多万元;6月,珠海市公安机关侦破一宗黑客盗取支付宝资金的特大系列案件,涉及地域横跨广东、黑龙江、四川、上海和浙江等5省(市)。
2015年,中国人民银行发布了《非银行支付机构网络支付业务管理办法(征求意见稿)》,同时披露当前移动支付行业的部分安全现状:部分支付机构风险意识薄弱,客户资金和信息安全机制缺失,安全控制措施不到位,对消费者的信息和财产安全构成严重威胁,甚至可能将相关风险引导至消费者的银行账户。
移动支付发展到今天,业内人称为“野蛮生长”的时期即将结束。一方面,国家逐步推出相关的法律法规,如《非金融机构支付服务管理办法》、《非金融机构支付服务业务系统检测认证管理规定》等;另一方面,行业本身也开始回归理性,安全自律将成为行业本身的要求。一味追求支付便捷而忽视支付安全的发展方式将退出市场主流,移动支付企业应提早加强自身相关安全工作。
银行系统榜单APP检测,11款产品漏洞超过10个
网蛙科技检测结果显示,15款银行系统APP榜单产品,检测到漏洞总数达162个,平均漏洞数超10个,按榜单排名,前三名APP的漏洞数分别多达3个、4个和15个。
随着互联网金融市场的扩张,银行行业将“互联网化”从单纯的业务层面提升至战略层面,以应对互联网的冲击,截止2015年8月,从工农建到地方银行,都推出了自己银行的APP。与“银行系统安全可靠”的这一消费者传统认知不同的是,移动端的安全系数并不高。2014年一季度,金融类应用中,银行APP受害比例为13.6%,排入前三,仅次于电商支付平台的APP和理财产品的APP。2015年,《中国经营报》报道工行支付存在漏洞,“e支付”短信验证码被截取,数十名储户银行存款被盗。
2015年,全国个人手机银行用户比例为32%,同比增长14.5%,同时柜台及网上业务向APP迁移趋势明显。不同于一般的互联网金融企业,银行系统的APP背后关联着银行自身多年沉淀的海量数据信息和庞大资产体量,一旦失守,后果不堪设想。APP作为新开放的入口,银行系统应将其安全工作当成重中之重,严防黑客通过APP端侵入。
应用商店不完全检测,互联网金融APP单款平均漏洞超35个
网蛙科技对当前市场上两类应用商店的互联网金融APP进行检测,分别为豌豆荚、应用宝、360手机助手等知名独立第三方应用商店,以及小米应用商店、华为应用市场等终端厂商自建的应用商店。
据不完全统计(本段漏洞数据均特指互联网金融类APP),截止2015年12月,手机应用商店中的漏洞总数超过88万,高危漏洞占比14%,单个应用商店的最高漏洞数目超过19万个,其中第三方应用商店的平均漏洞数目超过25万个,终端厂商自建的应用商店漏洞数目平均达到4万个,第三方应用商店的安全系数相对低于终端厂商自建的应用商店。
从当前市场APP下载情况来看,APP下载渠道占比最高的为第三方应用商店(占比54%),其次为终端厂商自建的应用商店(占比34%),这两大类应用商店是当前用户下载APP的主要渠道。互联网金融APP漏洞检测结果反映出当前市场上的金融类APP的安全工作亟待加强,也同时反映出应用商店安全检测工作不到位,无法完全保障上架APP安全。互联网金融行业比其他行业更紧密地触及财产信息与隐私信息等,互联网金融APP的安全,是用户、企业、应用商店乃至整个国家的硬需求。2016年,应用商店需要在安全检测方面做更多工作。
2015年互联网金融APP漏洞比例一览
检测结果显示,2015年,互联网金融APP的高中低危漏洞分布呈现中间大两头小的态势。
中危漏洞占比最高,超过60%,影响了绝大多数的互联网金融APP。中低危漏洞的防护难度相对较低,大多企业可以通过加强安全工作来杜绝中低危漏洞。
危害性最高的高危漏洞占比为14%,虽然比例不高,但高危漏洞所造成的危害要远大于中低危漏洞,因此需要引起互联网金融APP开发者的高度重视。
高危漏洞危害深远,APP开发者应加强防护
2015年,网蛙科技通过检测发现,大量的金融理财类APP存在WebView不校验证书、HTTPS信任所有主机和Android消息推送等高危漏洞。
仅以Android消息推送漏洞这一逻辑验证漏洞为例,它主要影响Android应用程序的消息推送服务功能,如短信、邮件等。Android的APP如果存在这一漏洞,黑客无须被授权就可以通过它远程攻击窃取受害者Android系统的推送消息,如果发送PendingIntent时未指定接收方包名,或者使用了有漏洞的消息推送服务,如Google、mPush、Amazon、Urban Airship,都受到该漏洞的威胁。
APP安全,从防护漏洞开始
随着互联网的发展,向移动端迁移已成为行业发展的必然趋势。未来的市场上,互联网金融APP将是互联网金融市场乃至金融市场的重要一环。大数据时代,企业如果不重视安全工作这把“达摩克利斯之剑”,一旦落下,将是不可承受之痛。这些年互联网金融企业因为漏洞被黑客利用而倒闭或跑路的案例,应成为所有互联网金融企业的前车之鉴。
政府对于互联网金融行业的发展一直寄予厚望并保持高度关注。2015年,互联网金融被写入政府工作报告,国家总理李克强在两会上公开称赞互联网金融的发展,并希望大力发展普惠金融制度“互联网+”行动计划。与此同时,政府对于互联网金融的安全也从未放松,相关的监管政策正不断地推出并完善,2015年12月,银监会、工信部等多部门联合发布网络借贷管理办法(征求意见稿),标志着高层正式着手整治互联网金融市场乱象。
随着互联网金融移动端的发展,使用场景复杂化,关联行业普遍化以及使用人群多样化,综合导致其安全工作的复杂程度与重要程度远远超过传统Web端,其互联网金融移动端处于一个更开放的网络环境中,开放的接口更多,更容易遭受黑客 攻击。同时因为涉及的领域广泛,使用传统的安全防护手法已经成为一种低效益的选择,建议APP开发者直接从“问题的根源——安全漏洞”保护移动端安全,高性价比地保护自己。
同时对绝大部分的互联网金融APP开发者来说,无法设置专人专岗用以监控应对互联网世界的高频安全威胁,一是绝大部分企业的APP开发者并不具备漏洞或0-day漏洞的挖掘能力,二是漏洞挖掘耗时久,从商业效益上说,企业自行防护漏洞的性价比不高。参考互联网移动端安全发展的轨迹,APP开发者与独立的第三方APP安全企业合作将成为互联网移动端安防的主流趋势,建议APP开发者与0-day漏洞研究团队合作,借助专业的力量,打造更加安全的APP产品。
注:网蛙科技本报告中涉及的第三方数据,援引自2015《互联网金融专题报告》、2015《三季度中国第三方支付市场分析报告》和《2015中国电子银行调查报告》,以及中国银联、艾瑞咨询、艾媒咨询、网贷之家、零壹研究院数据中心、Testin AppBase数据等第三方数据机构,在此表示感谢。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
