备案│金融APP检测常见问题汇总，请收好！

字号：大中小

　　为全面落实央行“237号文”要求，近几个月来，金融APP备案准备工作开展得如火如荼。日前，中国互联网金融协会（以下简称“互金协会”）对首批拟备案的金融APP名单进行了公示。中国金融认证中心（CFCA）作为“金融科技产品认证”官方指定的检测机构之一，这里梳理了金融APP在检测中暴露出的常见问题，并给出应对建议，以供参考。

　　问题一：多款APP对于操作系统越权风险没有相应的感知能力

　　众所周知，目前的APP主要运行于Android以及iOS两大操作系统，但对于由操作系统root权限的泄露以及普通权限越级提升为root权限带来的威胁，很多APP并没有灵敏的感知能力。

　　《JR/T 0092-2019 移动金融客户端应用软件安全管理规范》5.3.4节“客户端应用软件环境检测”中则明确规定：

　　客户端应用软件在运行时应具备对运行环境的检查能力，检查的范围可包括：系统是否被未经授权获取管理员权限、程序运行环境是否可信（如：是否运行在模拟器或虚拟机中）等，并能向后台系统反馈设备信息等。

　　我们在检测工作中也发现，很多中小型金融企业提交的APP，操作系统越权风险感知能力弱的问题尤为突出。鉴于此，我们建议厂商在研发过程中尽量对上述问题进行内部复测，以降低因后期整改而额外产生的人力与时间成本。

　　问题二：滥用系统权限

　　在认证试点工作开展中，我们还发现一些APP普遍使用了功能中使用不到的系统权限。例如，有APP未使用到硬件摄像头，却申请了使用摄像头的权限；有的并未使用蓝牙设备，却在配置文件中允许APP获取蓝牙相关权限。

　　殊不知，上述权限的过度分配可能会给一些精通逆向工程和二进制利用的黑客可趁之机，黑客们可能会通过这些漏洞，在用户无意识的情况下调用这些额外的权限从事不法活动。因此，参与备案的企业在APP提交检测前，最好能够开展权限排查，杜绝系统权限滥用是非常有必要的安全内检步骤。

　　问题三：“隐私政策”语焉不详或不知所云

　　“隐私政策”作为APP个人信息保护的重要组成部分，是具备法律效力的关键环节。但我们在检测过程中发现，一些APP的“隐私政策”章节字数较少，所述条目内容空泛或令人费解，有的甚至连隐私政策生效日期都没有规定，不具备可实施性和可操作性。这极易给APP用户在个人隐私、敏感数据方面带来隐患，一旦出现问题，则会导致不可逆转的严重后果，威胁着用户的人身、财产安全。

　　显然，APP增强“隐私政策”的规范性及可阅读性，这一点至关重要。

　　问题四：“弱加固”和“敏感信息未加密”

　　不少APP存在着“弱加固”的问题，即对APP核心逻辑加固力度较弱，可轻易通过脱壳技术、逆向工程进行还原，还原后可以轻易突破防御手段进行数据采集和信息暴露。“弱加固”是一个值得关注的APP风险来源。

　　另一个值得关注的问题是“敏感信息未加密”，我们在测试过程中，发现部分APP收集的报文信息，如银行卡号、身份证号等并未经过密码算法加密，却以明文形式存储在传输报文中，这就大大增加了被黑客劫持和利用的风险。

　　建议在企业内部自检的过程中，建立自查机制，可大幅降低因此类问题造成的危害。

　　目前，CFCA已全程参与第一批和非第一批认证试点工作，累计完成APP认证近百个。在近期互金协会公示的首批拟备案的37家共73款金融APP名单中，CFCA检测了其中19家共37款APP，包括中国工商银行、中国建设银行、民生银行、平安口袋银行、广发银行、中信银行、兴业银行、安徽农金、西安银行、徽商银行等。

　　作者：马瑶瑶、曹中全

责任编辑：韩希宇