为全面落实央行“237号文”要求,近几个月来,金融APP备案准备工作开展得如火如荼。日前,中国互联网金融协会(以下简称“互金协会”)对首批拟备案的金融APP名单进行了公示。中国金融认证中心(CFCA)作为“金融科技产品认证”官方指定的检测机构之一,这里梳理了金融APP在检测中暴露出的常见问题,并给出应对建议,以供参考。
问题一:多款APP对于操作系统越权风险没有相应的感知能力
众所周知,目前的APP主要运行于Android以及iOS两大操作系统,但对于由操作系统root权限的泄露以及普通权限越级提升为root权限带来的威胁,很多APP并没有灵敏的感知能力。
我们在检测工作中也发现,很多中小型金融企业提交的APP,操作系统越权风险感知能力弱的问题尤为突出。鉴于此,我们建议厂商在研发过程中尽量对上述问题进行内部复测,以降低因后期整改而额外产生的人力与时间成本。
问题二:滥用系统权限
在认证试点工作开展中,我们还发现一些APP普遍使用了功能中使用不到的系统权限。例如,有APP未使用到硬件摄像头,却申请了使用摄像头的权限;有的并未使用蓝牙设备,却在配置文件中允许APP获取蓝牙相关权限。
殊不知,上述权限的过度分配可能会给一些精通逆向工程和二进制利用的黑客可趁之机,黑客们可能会通过这些漏洞,在用户无意识的情况下调用这些额外的权限从事不法活动。因此,参与备案的企业在APP提交检测前,最好能够开展权限排查,杜绝系统权限滥用是非常有必要的安全内检步骤。
问题三:“隐私政策”语焉不详或不知所云
“隐私政策”作为APP个人信息保护的重要组成部分,是具备法律效力的关键环节。但我们在检测过程中发现,一些APP的“隐私政策”章节字数较少,所述条目内容空泛或令人费解,有的甚至连隐私政策生效日期都没有规定,不具备可实施性和可操作性。这极易给APP用户在个人隐私、敏感数据方面带来隐患,一旦出现问题,则会导致不可逆转的严重后果,威胁着用户的人身、财产安全。
显然,APP增强“隐私政策”的规范性及可阅读性,这一点至关重要。
问题四:“弱加固”和“敏感信息未加密”
建议在企业内部自检的过程中,建立自查机制,可大幅降低因此类问题造成的危害。
目前,CFCA已全程参与第一批和非第一批认证试点工作,累计完成APP认证近百个。在近期互金协会公示的首批拟备案的37家共73款金融APP名单中,CFCA检测了其中19家共37款APP,包括中国工商银行、中国建设银行、民生银行、平安口袋银行、广发银行、中信银行、兴业银行、安徽农金、西安银行、徽商银行等。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
