為全面落實央行“237號文”要求，近幾個月來，金融APP備案準備工作開展得如火如荼。日前，中國互聯網金融協會（以下簡稱“互金協會”）對首批擬備案的金融APP名單進行了公示。中國金融認證中心（CFCA）作為“金融科技產品認證”官方指定的檢測機構之一，這里梳理了金融APP在檢測中暴露出的常見問題，并給出應對建議，以供參考。

問題一：多款APP對于操作系統越權風險沒有相應的感知能力

眾所周知，目前的APP主要運行于Android以及iOS兩大操作系統，但對于由操作系統root權限的泄露以及普通權限越級提升為root權限帶來的威脅，很多APP并沒有靈敏的感知能力。

《JR/T 0092-2019 移動金融客戶端應用軟件安全管理規范》5.3.4節“客戶端應用軟件環境檢測”中則明確規定：

客戶端應用軟件在運行時應具備對運行環境的檢查能力，檢查的范圍可包括：系統是否被未經授權獲取管理員權限、程序運行環境是否可信（如：是否運行在模擬器或虛擬機中）等，并能向后臺系統反饋設備信息等。

我們在檢測工作中也發現，很多中小型金融企業提交的APP，操作系統越權風險感知能力弱的問題尤為突出。鑒于此，我們建議廠商在研發過程中盡量對上述問題進行內部復測，以降低因后期整改而額外產生的人力與時間成本。

問題二：濫用系統權限

在認證試點工作開展中，我們還發現一些APP普遍使用了功能中使用不到的系統權限。例如，有APP未使用到硬件攝像頭，卻申請了使用攝像頭的權限；有的并未使用藍牙設備，卻在配置文件中允許APP獲取藍牙相關權限。

殊不知，上述權限的過度分配可能會給一些精通逆向工程和二進制利用的黑客可乘之機，黑客們可能會通過這些漏洞，在用戶無意識的情況下調用這些額外的權限從事不法活動。因此，參與備案的企業在APP提交檢測前，最好能夠開展權限排查，杜絕系統權限濫用是非常有必要的安全內檢步驟。

問題三：“隱私政策”語焉不詳或不知所云

“隱私政策”作為APP個人信息保護的重要組成部分，是具備法律效力的關鍵環節。但我們在檢測過程中發現，一些APP的“隱私政策”章節字數較少，所述條目內容空泛或令人費解，有的甚至連隱私政策生效日期都沒有規定，不具備可實施性和可操作性。這極易給APP用戶在個人隱私、敏感數據方面帶來隱患，一旦出現問題，則會導致不可逆轉的嚴重后果，威脅著用戶的人身、財產安全。

顯然，APP增強“隱私政策”的規范性及可閱讀性，這一點至關重要。

問題四：“弱加固”和“敏感信息未加密”

不少APP存在著“弱加固”的問題，即對APP核心邏輯加固力度較弱，可輕易通過脫殼技術、逆向工程進行還原，還原后可以輕易突破防御手段進行數據采集和信息暴露?！叭跫庸獭笔且粋€值得關注的APP風險來源。

另一個值得關注的問題是“敏感信息未加密”，我們在測試過程中，發現部分APP收集的報文信息，如銀行卡號、身份證號等并未經過密碼算法加密，卻以明文形式存儲在傳輸報文中，這就大大增加了被黑客劫持和利用的風險。

建議在企業內部自檢的過程中，建立自查機制，可大幅降低因此類問題造成的危害。

目前，CFCA已全程參與第一批和非第一批認證試點工作，累計完成APP認證近百個。在近期互金協會公示的首批擬備案的37家共73款金融APP名單中，CFCA檢測了其中19家共37款APP，包括中國工商銀行、中國建設銀行、民生銀行、平安口袋銀行、廣發銀行、中信銀行、興業銀行、安徽農金、西安銀行、徽商銀行等。

責任編輯：韓希宇