Intertrust近日發(fā)布的一份報(bào)告顯示，77%的金融應(yīng)用程序至少存在一個(gè)可能導(dǎo)致數(shù)據(jù)泄露的嚴(yán)重漏洞，81%的金融應(yīng)用程序會(huì)泄漏數(shù)據(jù)。

　　這份報(bào)告發(fā)布之際，金融移動(dòng)應(yīng)用程序的使用迅速擴(kuò)增，金融應(yīng)用程序的用戶(hù)會(huì)話數(shù)量在2020年上半年增長(zhǎng)了49%。同期，根據(jù)VMware的數(shù)據(jù)，針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊增長(zhǎng)了118%。

　　該報(bào)告分析了iOS和Android平臺(tái)平均分布的150多個(gè)移動(dòng)金融應(yīng)用程序，并提供了對(duì)四大金融領(lǐng)域的總體分析：支付、銀行、投資/交易和貸款。調(diào)查的應(yīng)用程序來(lái)自美國(guó)、英國(guó)、歐盟、東南亞和印度。分析人員根據(jù)OWASP（開(kāi)放Web應(yīng)用程序安全項(xiàng)目）移動(dòng)應(yīng)用程序安全指南，使用一系列靜態(tài)應(yīng)用程序安全測(cè)試（SAST）和動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）技術(shù)對(duì)它們進(jìn)行了分析。

　　該研究的總體結(jié)果表明，雖然新冠疫情加速了全球金融渠道數(shù)字化和移動(dòng)非接觸式支付等創(chuàng)新技術(shù)的轉(zhuǎn)變，但移動(dòng)金融應(yīng)用程序的安全性并沒(méi)有跟上。

　　加密問(wèn)題是最普遍和最嚴(yán)重的威脅之一，88%的分析應(yīng)用程序未能通過(guò)一項(xiàng)或多項(xiàng)加密測(cè)試。這意味著這些金融應(yīng)用程序中使用的加密很容易被網(wǎng)絡(luò)犯罪分子破解，可能會(huì)暴露機(jī)密支付信息和客戶(hù)數(shù)據(jù)，并使應(yīng)用程序代碼面臨被分析和篡改的風(fēng)險(xiǎn)。

　　其他主要發(fā)現(xiàn)：

　　接受測(cè)試的每個(gè)應(yīng)用程序中都發(fā)現(xiàn)了一個(gè)或多個(gè)安全漏洞；

　　84%的Android應(yīng)用和70%的iOS應(yīng)用至少存在一個(gè)嚴(yán)重或高危漏洞；

　　81%的金融應(yīng)用程序泄露數(shù)據(jù)；

　　49%的支付應(yīng)用程序容易受到加密密鑰提取的影響；

　　銀行應(yīng)用程序包含的漏洞比任何其他類(lèi)型的金融應(yīng)用程序都多；

　　使用代碼混淆、篡改檢測(cè)和白盒加密等應(yīng)用程序保護(hù)技術(shù)可以緩解近四分之三的高嚴(yán)重性威脅。