Intertrust最近发布的一份报告显示,77%的金融应用至少存在一个可能导致数据泄露的严重漏洞,81%的金融应用会泄露数据。该报告发布之际,金融移动应用程序的使用迅速扩大,2020年上半年,金融应用程序的用户会话数量增长了49%。同期,针对金融机构的网络攻击增加了118%,据称威睿。该报告分析了平均分布在iOS和Android平台上的150多个移动金融应用程序,并提供了四大金融领域的综合分析:支付、银行、投资/交易和贷款。接受调查的应用来自美国、英国、欧盟、东南亚和印度。分析师根据OWASP(OpenWebApplicationSecurityProject)移动应用程序安全指南,使用一系列静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)技术对它们进行了分析。研究的总体结果表明,虽然COVID-19大流行加速了全球金融渠道数字化和移动非接触式支付等创新的转变,但移动金融应用程序的安全性并没有跟上步伐。加密问题是最普遍和最严重的威胁之一,88%的分析应用程序未通过一次或多次加密测试。这意味着这些金融应用程序中使用的加密技术很容易被网络犯罪分子破解,可能会泄露机密支付信息和客户数据,并使应用程序代码面临分析和篡改的风险。其他主要发现:在每个测试的应用程序中都发现了一个或多个安全漏洞;84%的Android应用程序和70%的iOS应用程序至少存在一个严重或高危漏洞;81%的金融应用程序泄露数据;49%的支付应用程序容易受到加密密钥提取;银行应用程序包含的漏洞比任何其他类型的金融应用程序都多;使用代码混淆、篡改检测和白盒加密等应用程序保护技术可以缓解几乎四分之三的高危威胁。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
