不良APP耍流氓 七成网络借贷手机应用可被监听篡改

如今，手机应用充斥着人们的“掌上”生活，很多人通过移动金融APP进行借贷、支付、理财等行为。然而，隐忧不期而至……网络借贷的风险不仅来自于运营者跑路，相关APP的信息技术风险、信息安全风险似乎更大。

80后成借贷市场主力

据互联网金融平台爱钱进发布《互联网人群借款行为研究》调查显示，未来借贷市场需求庞大，借贷用户预期还款能力较强；未来借贷市场仍需被激发，而P2P网贷平台有较大的市场提升空间；而速度快超越低费率，成为他们在选择借款平台时最看重的因素。

报告显示，在9000份调研问卷中，49%曾有过借贷行为，未来一年内56%有借贷需求，借贷市场需求庞大。

从借贷用途上看，主要依次集中在资金周转、电商购物、购房、购车、装修。其中，银行贷款在购房购车大宗资金需求上覆盖度高达79.73%；BAT的场景支付在电商购物上使用比例达到19%，而P2P则在资金周转、电商购物、装修的资金需求上覆盖度达到近11%。

从贷款用户上看，80后成为借贷市场主力，借贷行为高达76.36%，70后次之，90后最低。而相对于70、80后借贷主要用于购房、购车、装修，90后借贷以租房、餐饮娱乐外，还多将资金用于创业和教育。

金融APP普遍存安全隐患

最新公布的《2015-2016移动互联网金融APP信息安全现状白皮书》（下称“白皮书”）称，目前网贷APP整体安全性并不高，每个APP都存在不同程度的信息安全问题，70%的APP中的用户信息可以被黑客监听和篡改。

这份白皮书由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测，上海微令信息科技有限公司校园司令参与，上海淳粹文化传媒有限公司联合撰写。

报告研究对象是安卓平台上88款最流行的移动金融APP，这88家也是网络借贷第三方分析研究机构网贷之家2015年评比的发展指数排名前列者。按照网贷之家的数据，尽管互联网金融大整治清理了一批，现存的P2P企业仍有2000家。而大部分在信息技术、信息安全上似乎并不是太专业。

测评结果显示，互联网金融普遍存在加密算法的误用、网络传输保护不足、应用程序缺乏保护措施、本地文件及系统日志敏感信息泄漏等几个方面的问题。严重之处在于，个别APP还存在组件暴露漏洞、可数据备份漏洞、Webview远程执行漏洞、拒绝服务攻击漏洞、网络接口攻击漏洞等等其他安全问题。

该报告还列出了移动互联网金融APP信息安全的十大风险，其中危害最大的是，15%的互联网金融APP与服务器端交互的数据通过明文的通信信道传输，这可以导致用户进行的金融交易信息、密码口令等秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息，还可以篡改交易内容甚至冒充用户登录进行交易。

此外，报告列举的风险还包括通讯数据可解密、敏感数据本地可破解、调试信息泄露、敏感信息泄露、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等风险。其中，“可调试”指的是客户端APP能够被调试，动态的提取、修改运行时的程序数据和逻辑；“代码可逆向”指的是客户端APP的逻辑能够被轻易获取和逆向，得到代码和程序中的敏感数据。以上两项的风险范围最高，达到了70%，分别可能导致用户信息被监听篡改，以及APP被攻击和仿冒。

这份报告还给出了一份“白名单”，也就是安全性最高的10个互联网金融APP，包括开鑫贷、大麦理财、九信金融、PP理财、爱投资等，而大家耳熟能详的陆金所、人人贷、积木盒子等公司并不在其列。

对此结果，报告撰稿人之一、上海掌御信息科技有限公司CTO李卷孺表示，APP的安全性跟企业规模并不成正比，白名单只是通过检测发现上述几家的安全系数更高，明显是找了专业技术人员多次调试。

李卷孺称，其实很多网贷APP的漏洞对于专业人员来说还是显而易见的，因此需要呼吁业界在聘用软件工程师时侧重信息安全方面的考量。由于担心引发黑客对漏洞明显的互联网金融APP进行攻击，他们并没有对外公开这些公司的名称，但具体的测评报告是对受测公司公开的。

此外，对于网贷APP是不是比传统金融机构APP的安全性更低，李卷孺并不这么认为：“具体情况具体分析，有些传统金融APP也很容易受攻击，有些金融机构的网站安全性高，但是手机客户端没有认真做好这一点。”

安卓系统上这些APP不安全，那苹果系统呢？

李卷孺认为，安卓手机的应用市场太庞杂，且下载太容易：“有时候发个短信、上个网页就能下载，门槛比较低，恶意软件频频出现。”但苹果也不完全省心，“虽然苹果为了信息安全，至今没有开放通话记录这个功能，但是苹果手机上的大型应用可以直接传输通讯录，只能说苹果和安卓手机的风险各有不同。”

面对防不胜防的不良APP，我们的“掌上安全”如何保障呢？

首先，作为手机用户，要保持良好的手机使用习惯，提高风险防范意识。比如从正规商店购买智能手机，尽量从官方渠道下载APP，安装软件前仔细阅读软件权限，不轻易点击短信里的网站链接等，这些都是规避安全风险的有效措施。

其次，由于恶意APP隐蔽性较强，仅靠网民自身的防范是远远不够的，在提升全民网络素养的同时，相关部门要加强网络安全建设和网络信息监管，规范APP平台审核，并制定相关法规，注重源头治理、全程监管和事后惩处相结合，用技术来甄别，用制度来规范，用惩处来震慑，充分捍卫消费者权益，确保APP市场在法治轨道上运行。

与此同时，“低头族”的盛行也带来了人们的“手机依赖症”，时间都消磨在了各种APP中，不仅弱化了人际间的交往，使自己被手机“绑架”，也对不良APP的流氓行为起到了推波助澜的作用。因此，增自制力，合理使用手机，让自己成为手机的主人非常有必要。