应用商店不完全检测,互联网金融APP单款平均漏洞超35个
时间:2022-03-19 21:00:01 | 来源:网络推广
时间:2022-03-19 21:00:01 来源:网络推广
网蛙科技对当前市场上两类应用商店的互联网金融APP进行检测,分别为豌豆荚、应用宝、360手机助手等知名独立第三方应用商店,以及小米应用商店、华为应用市场等终端厂商自建的应用商店。
据不完全统计(本段漏洞数据均特指互联网金融类APP),截止2015年12月,手机应用商店中的漏洞总数超过88万,高危漏洞占比14%,单个应用商店的最高漏洞数目超过19万个,其中第三方应用商店的平均漏洞数目超过25万个,终端厂商自建的应用商店漏洞数目平均达到4万个,第三方应用商店的安全系数相对低于终端厂商自建的应用商店。
从当前市场APP下载情况来看,APP下载渠道占比最高的为第三方应用商店(占比54%),其次为终端厂商自建的应用商店(占比34%),这两大类应用商店是当前用户下载APP的主要渠道。互联网金融APP漏洞检测结果反映出当前市场上的金融类APP的安全工作亟待加强,也同时反映出应用商店安全检测工作不到位,无法完全保障上架APP安全。互联网金融行业比其他行业更紧密地触及财产信息与隐私信息等,互联网金融APP的安全,是用户、企业、应用商店乃至整个国家的硬需求。2016年,应用商店需要在安全检测方面做更多工作。
2015年互联网金融APP漏洞比例一览
检测结果显示,2015年,互联网金融APP的高中低危漏洞分布呈现中间大两头小的态势。
中危漏洞占比最高,超过60%,影响了绝大多数的互联网金融APP。中低危漏洞的防护难度相对较低,大多企业可以通过加强安全工作来杜绝中低危漏洞。
危害性最高的高危漏洞占比为14%,虽然比例不高,但高危漏洞所造成的危害要远大于中低危漏洞,因此需要引起互联网金融APP开发者的高度重视。
高危漏洞危害深远,APP开发者应加强防护
2015年,网蛙科技通过检测发现,大量的金融理财类APP存在WebView不校验证书、HTTPS信任所有主机和Android消息推送等高危漏洞。
仅以Android消息推送漏洞这一逻辑验证漏洞为例,它主要影响Android应用程序的消息推送服务功能,如短信、邮件等。Android的APP如果存在这一漏洞,黑客无须被授权就可以通过它远程攻击窃取受害者Android系统的推送消息,如果发送PendingIntent时未指定接收方包名,或者使用了有漏洞的消息推送服务,如Google、mPush、Amazon、Urban Airship,都受到该漏洞的威胁。
APP安全,从防护漏洞开始
随着互联网的发展,向移动端迁移已成为行业发展的必然趋势。未来的市场上,互联网金融APP将是互联网金融市场乃至金融市场的重要一环。大数据时代,企业如果不重视安全工作这把达摩克利斯之剑,一旦落下,将是不可承受之痛。这些年互联网金融企业因为漏洞被黑客利用而倒闭或跑路的案例,应成为所有互联网金融企业的前车之鉴。
政府对于互联网金融行业的发展一直寄予厚望并保持高度关注。2015年,互联网金融被写入政府工作报告,国家总理李克强在两会上公开称赞互联网金融的发展,并希望大力发展普惠金融制度互联网 行动计划。与此同时,政府对于互联网金融的安全也从未放松,相关的监管政策正不断地推出并完善,2015年12月,银监会、工信部等多部门联合发布网络借贷管理办法(征求意见稿),标志着高层正式着手整治互联网金融市场乱象。
随着互联网金融移动端的发展,使用场景复杂化,关联行业普遍化以及使用人群多样化,综合导致其安全工作的复杂程度与重要程度远远超过传统Web端,其互联网金融移动端处于一个更开放的网络环境中,开放的接口更多,更容易遭受黑客 攻击。同时因为涉及的领域广泛,使用传统的安全防护手法已经成为一种低效益的选择,建议APP开发者直接从问题的根源安全漏洞保护移动端安全,高性价比地保护自己。
同时对绝大部分的互联网金融APP开发者来说,无法设置专人专岗用以监控应对互联网世界的高频安全威胁,一是绝大部分企业的APP开发者并不具备漏洞或0-day漏洞的挖掘能力,二是漏洞挖掘耗时久,从商业效益上说,企业自行防护漏洞的性价比不高。参考互联网移动端安全发展的轨迹,APP开发者与独立的第三方APP安全企业合作将成为互联网移动端安防的主流趋势,建议APP开发者与0-day漏洞研究团队合作,借助专业的力量,打造更加安全的APP产品。
注:网蛙科技本报告中涉及的第三方数据,援引自2015《互联网金融专题报告》、2015《三季度中国第三方支付市场分析报告》和《2015中国电子银行调查报告》,以及中国银联、艾瑞咨询、艾媒咨询、网贷之家、零壹研究院数据中心、Testin AppBase数据等第三方数据机构,在此表示感谢。