[[405226]]

Intertrust近日發(fā)布的一份報(bào)告顯示，77%的金融應(yīng)用程序至少存在一個(gè)可能導(dǎo)致數(shù)據(jù)泄露的嚴(yán)重漏洞，81%的金融應(yīng)用程序會(huì)泄漏數(shù)據(jù)。

這份報(bào)告發(fā)布之際，金融移動(dòng)應(yīng)用程序的使用迅速擴(kuò)增，金融應(yīng)用程序的用戶會(huì)話數(shù)量在2020年上半年增長(zhǎng)了49%。同期，根據(jù)VMware的數(shù)據(jù)，針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊增長(zhǎng)了118%。

該報(bào)告分析了iOS和Android平臺(tái)平均分布的150多個(gè)移動(dòng)金融應(yīng)用程序，并提供了對(duì)四大金融領(lǐng)域的總體分析：支付、銀行、投資/交易和貸款。調(diào)查的應(yīng)用程序來自美國(guó)、英國(guó)、歐盟、東南亞和印度。分析人員根據(jù)OWASP(開放Web應(yīng)用程序安全項(xiàng)目)移動(dòng)應(yīng)用程序安全指南，使用一系列靜態(tài)應(yīng)用程序安全測(cè)試(SAST)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)技術(shù)對(duì)它們進(jìn)行了分析。

該研究的總體結(jié)果表明，雖然新冠疫情加速了全球金融渠道數(shù)字化和移動(dòng)非接觸式支付等創(chuàng)新技術(shù)的轉(zhuǎn)變，但移動(dòng)金融應(yīng)用程序的安全性并沒有跟上。

加密問題是最普遍和最嚴(yán)重的威脅之一，88%的分析應(yīng)用程序未能通過一項(xiàng)或多項(xiàng)加密測(cè)試。這意味著這些金融應(yīng)用程序中使用的加密很容易被網(wǎng)絡(luò)犯罪分子破解，可能會(huì)暴露機(jī)密支付信息和客戶數(shù)據(jù)，并使應(yīng)用程序代碼面臨被分析和篡改的風(fēng)險(xiǎn)。

其他主要發(fā)現(xiàn)：

• 接受測(cè)試的每個(gè)應(yīng)用程序中都發(fā)現(xiàn)了一個(gè)或多個(gè)安全漏洞;
• 84%的Android應(yīng)用和70%的iOS應(yīng)用至少存在一個(gè)嚴(yán)重或高危漏洞;
• 81%的金融應(yīng)用程序泄露數(shù)據(jù);
• 49%的支付應(yīng)用程序容易受到加密密鑰提取的影響;
• 銀行應(yīng)用程序包含的漏洞比任何其他類型的金融應(yīng)用程序都多;
• 使用代碼混淆、篡改檢測(cè)和白盒加密等應(yīng)用程序保護(hù)技術(shù)可以緩解近四分之三的高嚴(yán)重性威脅。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文