[[405226]]

Intertrust近日發布的一份報告顯示，77%的金融應用程序至少存在一個可能導致數據泄露的嚴重漏洞，81%的金融應用程序會泄漏數據。

這份報告發布之際，金融移動應用程序的使用迅速擴增，金融應用程序的用戶會話數量在2020年上半年增長了49%。同期，根據VMware的數據，針對金融機構的網絡攻擊增長了118%。

該報告分析了iOS和Android平臺平均分布的150多個移動金融應用程序，并提供了對四大金融領域的總體分析：支付、銀行、投資/交易和貸款。調查的應用程序來自美國、英國、歐盟、東南亞和印度。分析人員根據OWASP(開放Web應用程序安全項目)移動應用程序安全指南，使用一系列靜態應用程序安全測試(SAST)和動態應用程序安全測試(DAST)技術對它們進行了分析。

該研究的總體結果表明，雖然新冠疫情加速了全球金融渠道數字化和移動非接觸式支付等創新技術的轉變，但移動金融應用程序的安全性并沒有跟上。

加密問題是最普遍和最嚴重的威脅之一，88%的分析應用程序未能通過一項或多項加密測試。這意味著這些金融應用程序中使用的加密很容易被網絡犯罪分子破解，可能會暴露機密支付信息和客戶數據，并使應用程序代碼面臨被分析和篡改的風險。

其他主要發現：

• 接受測試的每個應用程序中都發現了一個或多個安全漏洞;
• 84%的Android應用和70%的iOS應用至少存在一個嚴重或高危漏洞;
• 81%的金融應用程序泄露數據;
• 49%的支付應用程序容易受到加密密鑰提取的影響;
• 銀行應用程序包含的漏洞比任何其他類型的金融應用程序都多;
• 使用代碼混淆、篡改檢測和白盒加密等應用程序保護技術可以緩解近四分之三的高嚴重性威脅。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文