Intertrust近日发布的一份报告显示,77%的金融应用程序至少存在一个可能导致数据泄露的严重漏洞,81%的金融应用程序会泄漏数据。
这份报告发布之际,金融移动应用程序的使用迅速扩增,金融应用程序的用户会话数量在2020年上半年增长了49%。同期,根据VMware的数据,针对金融机构的网络攻击增长了118%。
该报告分析了iOS和Android平台平均分布的150多个移动金融应用程序,并提供了对四大金融领域的总体分析:支付、银行、投资/交易和贷款。调查的应用程序来自美国、英国、欧盟、东南亚和印度。分析人员根据OWASP(开放Web应用程序安全项目)移动应用程序安全指南,使用一系列静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)技术对它们进行了分析。
该研究的总体结果表明,虽然新冠疫情加速了全球金融渠道数字化和移动非接触式支付等创新技术的转变,但移动金融应用程序的安全性并没有跟上。
加密问题是最普遍和最严重的威胁之一,88%的分析应用程序未能通过一项或多项加密测试。这意味着这些金融应用程序中使用的加密很容易被网络犯罪分子破解,可能会暴露机密支付信息和客户数据,并使应用程序代码面临被分析和篡改的风险。
其他主要发现:
- 接受测试的每个应用程序中都发现了一个或多个安全漏洞;
- 84%的Android应用和70%的iOS应用至少存在一个严重或高危漏洞;
- 81%的金融应用程序泄露数据;
- 49%的支付应用程序容易受到加密密钥提取的影响;
- 银行应用程序包含的漏洞比任何其他类型的金融应用程序都多;
- 使用代码混淆、篡改检测和白盒加密等应用程序保护技术可以缓解近四分之三的高严重性威胁。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】