惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Forbes - Security
Forbes - Security
GbyAI
GbyAI
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
S
SegmentFault 最新的问题
Y
Y Combinator Blog
Recorded Future
Recorded Future
博客园 - Franky
I
InfoQ
T
The Blog of Author Tim Ferriss
Recent Announcements
Recent Announcements
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
博客园_首页
阮一峰的网络日志
阮一峰的网络日志
T
Tailwind CSS Blog
Cyberwarzone
Cyberwarzone
The Register - Security
The Register - Security
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
雷峰网
雷峰网
P
Palo Alto Networks Blog
G
GRAHAM CLULEY
Cloudbric
Cloudbric
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
MongoDB | Blog
MongoDB | Blog
F
Full Disclosure
Google DeepMind News
Google DeepMind News
Recent Commits to openclaw:main
Recent Commits to openclaw:main
C
Check Point Blog
爱范儿
爱范儿
The GitHub Blog
The GitHub Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
W
WeLiveSecurity
T
Threat Research - Cisco Blogs
U
Unit 42
N
Netflix TechBlog - Medium
The Cloudflare Blog
Spread Privacy
Spread Privacy
Microsoft Azure Blog
Microsoft Azure Blog
美团技术团队
T
Troy Hunt's Blog
Engineering at Meta
Engineering at Meta
H
Heimdal Security Blog
TaoSecurity Blog
TaoSecurity Blog
C
Cybersecurity and Infrastructure Security Agency CISA
T
Tenable Blog
B
Blog
S
Securelist
H
Hacker News: Front Page
Google Online Security Blog
Google Online Security Blog
G
Google Developers Blog

蒲公英

蒲公英 502 了 - V2EX 为什么你的 App 不够完美 ——搜索&文本框篇 - V2EX 你的 App 与完美近在咫尺,相隔的只有这些问题 ——注册登录篇 - V2EX [Bug 管理云] 将你的项目和 Github / Bitbucket 的代码库关联起来! - V2EX 深入浅出 App 端安全漏洞之任意调试漏洞、中间人劫持漏洞及加密算法漏洞 - V2EX 大选日来临!邮件门阴霾仍未散去,每个人都该检查自己的邮箱,和 APP - V2EX Android 开发 APP 端常见安全漏洞解读——敏感信息泄露漏洞 - V2EX 你的 Android HTTPS 真的安全吗? - V2EX 可能比炸机还恐怖, Android 系统 APP 的那些安全隐患你了解吗 - V2EX 蒲公英平台用法的最佳实践(Android 篇) - V2EX Ant 多渠到混淆打包 - V2EX
从单独应用扩散到整个行业,问题本质是金融类 APP 的安全 - V2EX
ZCPgyer · 2016-10-27 · via 蒲公英

移动互联网金融大行其道,各类互联网金融 APP 挤满了手机应用商店,在 2016 年第一季度国内 APP 市场上就已新增超过 100 家相对稳定运营的互联网金融 APP ,为用户提供相关产品和服务。移动互联网改变了用户的行为习惯,同时也影响了用户对互联网金融产品和服务的获得手段。

在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,一个接一个地倒下,其中不乏因问题严重而出现提现困难,甚至跑路的。根据互联网专业平台网贷之家 的数据统计,自 2011 年有相关正式记录以来,至 2016 年 6 月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为 1347 个。

目前记录在案的所有出现重大问题的互联网金融平台中,单从互联网金融平台最为兴盛的近三年来看,2014 年为 254 个,占所有出现重大问题平台的 18.86%; 2015 年为 746 个,占总数的 55.38%; 2016 上半年共出现 268 个,占总数的 19.90%。虽然从上半年的数量上看, 2016 年似乎呈现出了重大问题平台数量一定的下降趋势,但目前仅仅是半年的统计,而互联网金融平台问题高发主要出现在金融业结算、兑付频率较高的下半年,所以这表面上看似的一点点下降趋势并非真实。

尽管这些名噪一时的互金案件将大众视野都吸引到了金融安全上,也使得很多普通用户视所有金融 APP 为洪水猛兽,提到金融 APP 必言隐私泄露,但一个更为深层次的安全问题却被公众所忽视——金融 APP 自身存在的技术问题。

目前国内大部分为客户提供移动金融服务的 APP 都缺少规范的安全监管标准和流程,许多 APP 缺乏对其和业务逻辑的充分安全性测试,其原因大多是没有专业的安全测试团队,安全测试仅仅停留在表面,而且对于很多公司来讲专门聘请一个安全团队成本会有些高。这就导致了其包含的安全漏洞会将重要的数据信息暴露给黑客,将使用该应用的客户置于风险之中。

正常情况下,一名普通用户在普通的网络环境(安全的 Wifi 网络)下载和安装了上述存在问题的 APP ,然后通过 APP 去注册了金融服务的账号,并绑定了手机、注册邮箱和银行卡等个人信息。之后,用户通过该账号发起了金融交易。整个过程均为正常的用户使用流程,然而在这个过程中,黑客存在大量可乘之机,可窃取用户的关键信息并最终完成对用户行为的操作,掌握了用户关键信息后,大多会选择交易这些用户隐私数据换取丰厚的报酬,这也从侧面说明了如今骚扰电话的数量日益增多的原因。

据统计, Android 应用目前可发现的漏洞, 21%存在于 APP 自身安全漏洞上, 5%存在于通信层面上,剩下的全部漏洞均来自服务端,而目前市面上自动化安全测试的工具也仅仅能针对 APP 的风险代码进行检测和规避,而服务端和通信层面的渗透测试是很多第三方测试机构做不到的。

术业有专攻,专业的开发者与专业的安全行业从业者相比,对于漏洞的发现和危险评估必然是有一定的差距,如果能够为 APP 开发团队配置专业的第三方安全测试团队,制定一套详细的安全规范和测试安全标准,必将有效地降低金融以及其它类 APP 安全问题发生的概率,让普通用户重拾对金融类 APP 乃至整个互联网金融行业的信任。