七成网贷APP存漏洞 用户信息可被监听和篡改

网络借贷的风险不仅来自于运营者跑路，相关APP的信息技术风险、信息安全风险似乎更大。最新公布的《2015-2016移动互联网金融APP信息安全现状白皮书》（下称“白皮书”）称，目前网贷APP整体安全性并不高，每个APP都存在不同程度的信息安全问题，70%的APP中的用户信息可以被黑客监听和篡改。

这份白皮书由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测，上海微令信息科技有限公司校园司令参与，上海淳粹文化传媒有限公司联合撰写。

报告研究对象是安卓平台上88款最流行的移动金融APP，这88家也是网络借贷第三方分析研究机构网贷之家2015年评比的发展指数排名前列者。按照网贷之家的数据，尽管互联网金融大整治清理了一批，现存的P2P企业仍有2000家。而大部分在信息技术、信息安全上似乎并不是太专业。

测评结果显示，互联网金融普遍存在加密算法的误用、网络传输保护不足、应用程序缺乏保护措施、本地文件及系统日志敏感信息泄漏等几个方面的问题。严重之处在于，个别APP还存在组件暴露漏洞、可数据备份漏洞、Webview远程执行漏洞、拒绝服务攻击漏洞、网络接口攻击漏洞等等其他安全问题。

该报告还列出了移动互联网金融APP信息安全的十大风险，其中危害最大的是，15%的互联网金融APP与服务器端交互的数据通过明文的通信信道传输，这可以导致用户进行的金融交易信息、密码口令等秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息，还可以篡改交易内容甚至冒充用户登录进行交易。