Intertrust近日發(fā)布的一份報告顯示,77%的金融應用程序至少存在一個可能導致數(shù)據(jù)泄露的嚴重漏洞,81%的金融應用程序會泄漏數(shù)據(jù)。
這份報告發(fā)布之際,金融移動應用程序的使用迅速擴增,金融應用程序的用戶會話數(shù)量在2020年上半年增長了49%。同期,根據(jù)VMware的數(shù)據(jù),針對金融機構的網(wǎng)絡攻擊增長了118%。
該報告分析了iOS和Android平臺平均分布的150多個移動金融應用程序,并提供了對四大金融領域的總體分析:支付、銀行、投資/交易和貸款。調查的應用程序來自美國、英國、歐盟、東南亞和印度。分析人員根據(jù)OWASP(開放Web應用程序安全項目)移動應用程序安全指南,使用一系列靜態(tài)應用程序安全測試(SAST)和動態(tài)應用程序安全測試(DAST)技術對它們進行了分析。
該研究的總體結果表明,雖然新冠疫情加速了全球金融渠道數(shù)字化和移動非接觸式支付等創(chuàng)新技術的轉變,但移動金融應用程序的安全性并沒有跟上。
加密問題是最普遍和最嚴重的威脅之一,88%的分析應用程序未能通過一項或多項加密測試。這意味著這些金融應用程序中使用的加密很容易被網(wǎng)絡犯罪分子破解,可能會暴露機密支付信息和客戶數(shù)據(jù),并使應用程序代碼面臨被分析和篡改的風險。
其他主要發(fā)現(xiàn):
接受測試的每個應用程序中都發(fā)現(xiàn)了一個或多個安全漏洞;
84%的Android應用和70%的iOS應用至少存在一個嚴重或高危漏洞;
81%的金融應用程序泄露數(shù)據(jù);
49%的支付應用程序容易受到加密密鑰提取的影響;
銀行應用程序包含的漏洞比任何其他類型的金融應用程序都多;
使用代碼混淆、篡改檢測和白盒加密等應用程序保護技術可以緩解近四分之三的高嚴重性威脅。