信息化觀察網(wǎng)

Intertrust近日發(fā)布的一份報告顯示，77%的金融應(yīng)用程序至少存在一個可能導(dǎo)致數(shù)據(jù)泄露的嚴(yán)重漏洞，81%的金融應(yīng)用程序會泄漏數(shù)據(jù)。

這份報告發(fā)布之際，金融移動應(yīng)用程序的使用迅速擴(kuò)增，金融應(yīng)用程序的用戶會話數(shù)量在2020年上半年增長了49%。同期，根據(jù)VMware的數(shù)據(jù)，針對金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊增長了118%。

該報告分析了iOS和Android平臺平均分布的150多個移動金融應(yīng)用程序，并提供了對四大金融領(lǐng)域的總體分析：支付、銀行、投資/交易和貸款。調(diào)查的應(yīng)用程序來自美國、英國、歐盟、東南亞和印度。分析人員根據(jù)OWASP（開放Web應(yīng)用程序安全項(xiàng)目）移動應(yīng)用程序安全指南，使用一系列靜態(tài)應(yīng)用程序安全測試(SAST)和動態(tài)應(yīng)用程序安全測試(DAST)技術(shù)對它們進(jìn)行了分析。

該研究的總體結(jié)果表明，雖然新冠疫情加速了全球金融渠道數(shù)字化和移動非接觸式支付等創(chuàng)新技術(shù)的轉(zhuǎn)變，但移動金融應(yīng)用程序的安全性并沒有跟上。

加密問題是最普遍和最嚴(yán)重的威脅之一，88%的分析應(yīng)用程序未能通過一項(xiàng)或多項(xiàng)加密測試。這意味著這些金融應(yīng)用程序中使用的加密很容易被網(wǎng)絡(luò)犯罪分子破解，可能會暴露機(jī)密支付信息和客戶數(shù)據(jù)，并使應(yīng)用程序代碼面臨被分析和篡改的風(fēng)險。

其他主要發(fā)現(xiàn)：

接受測試的每個應(yīng)用程序中都發(fā)現(xiàn)了一個或多個安全漏洞；

84%的Android應(yīng)用和70%的iOS應(yīng)用至少存在一個嚴(yán)重或高危漏洞；

81%的金融應(yīng)用程序泄露數(shù)據(jù)；

49%的支付應(yīng)用程序容易受到加密密鑰提取的影響；

銀行應(yīng)用程序包含的漏洞比任何其他類型的金融應(yīng)用程序都多；

使用代碼混淆、篡改檢測和白盒加密等應(yīng)用程序保護(hù)技術(shù)可以緩解近四分之三的高嚴(yán)重性威脅。