金融APP越界?实测30款:有17款索取隐私权限
|
根据中国信息通信研究院发布的《2019金融行业移动APP安全观测报告》,截至2019年9月11日,该报告团队从232个安卓应用市场中收录了13.33万款金融行业APP,发现有70.22%的金融行业APP存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行APP仿冒、植入恶意程序、攻击服务等,对APP安全具有严重威胁。其中Top3的高危漏洞均存在导致APP数据泄露的风险。
“从银联卡支付到银联手机闪付,再到银联云闪付APP以及二维码支付,随着时代的发展,目前风险也加速向线上移动端转移,向支付业务全链条全方位渗透,由单一风险向各类风险交织并存发展,金融科技与新型风险相结合,催生团伙犯罪以及黑色产业链条,增大了风控的压力。”12月14日,中国银联法律合规部总经理郑晓琴在互联网安全与刑事法制高峰论坛上称。 那么,金融机构面对的风险主要有哪些? 在腾讯安全云鼎实验室负责人董志强看来,网点时代银行业的安全防护主要体现在业务连续性安全保障,集中在基础环境安全、网络连通性安全、应用安全等领域。而从网银时代开始,防止业务攻击和数据篡改、越权等安全防护成为了安全防护重点,同时针对普通用户银行账户的犯罪越来越多,如转账类诈骗、“四件套”交易等,这都需要银行方面有更强的监管能力。 微众银行反欺诈负责人诸劼称,薅羊毛对银行和互联网黑产来说都不是新鲜事,传统银行会遭遇套积分行为,互联网黑产则会经常薅电商的优惠券。但当金融机构逐步向移动端转移的过程中,银行碰到互联网黑产,就会出现问题。“银行没有见过这么大的账号群控黑产群体,而黑产则在电商外又找到一块大蛋糕。对于银行传统的注册账户必须手机验证和领券必须提供有效身份证的监管机制,互联网黑产往往可以使用大量手机号资源,接码平台以及大量身份信息去绕过,对此银行只能采取新方式对抗。” 蔡准对新京报记者举例称,此前有一家银行上线了其提供的风控系统后,在其APP的商城里拦截到一些商户的订单。“这些商户在该银行APP里出售商品时,使用同一个设备购买自己的商品‘刷单’,以这样的方式来‘薅’银行为商户提供的交易补贴,该银行此前承受了两年的损失,采用了反欺诈系统后才发现问题。” 董志强表示,目前,随着移动网络时代开始,移动安全、云安全、数据安全成为防护重点,同时语音支付、人脸支付等方面,银行也会面临新的威胁,比如AI伪造语音、AI伪造人脸的攻击,如何对此类新型攻击做到有效防护,也是需要银行等机构进行持续性研究。 “从2015年至今,金融机构与黑产的‘战况’一直很胶着,这是因为移动互联领域涉及很多风险点,而且相关的技术一直在升级,道高一尺魔高一丈的事情一直在发生。银行除了自身的风控团队外,还需要安全技术人员的配合,未来希望有更多的法律法规出台可以保护金融机构的数据安全。”戴蒙表示。 新京报记者 罗亦丹 编辑 李薇佳 校对 张彦君
(编辑:葫芦岛站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
