移动互联网金融APP信息安全现状白皮书下
8月19日，《移动互联网金融APP信息安全现状白皮书》（网贷篇）（以下简称《白皮书》）在上海正式发布，该报告由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测，上海淳粹文化传媒有限公司联合撰写并独家发布。
上篇内容主要讲述了十大安全移动互联网金融APP信息，并对他们进行了相应的评分和点评，让用户们对这类APP有了初步的了解。本篇，就让我们进一步来了解一下移动互联网金融APP信息安全十大风险及解决办法。
（以下内容选自《白皮书》，文后将附上本次移动互联网金融APP信息安全检测名单。本次测试，仅针对Android系统）
一、移动互联网金融APP信息安全十大风险
1. 通信数据明文发送
? 风险描述：客户端APP与服务器端交互的数据通过明文的通信信道传输。
? 危害指数：
该风险可导致用户进行的金融交易信息、密码口令等秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息，还可以篡改交易内容甚至冒充用户登录进行交易。
? 风险范围：15%
2. 通信数据可解密
? 风险描述：客户端APP与服务器端交互的数据加密传输，但数据依然可以被解密。
? 危害指数：
该风险可导致用户进行的金融交易信息、密码口令等秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息，还可以篡改交易内容甚至冒充用户登录进行交易。
? 风险范围：10%
3. 敏感数据本地可破解
? 风险描述：客户端APP将敏感数据（如登录密码，手势密码等）以明文存储在本地，或加密存储但通过逆向分析程序可以破解该数据。
? 危害指数：
该风险可导致用户存储在手机上的金融交易信息和密码口令等秘密数据完全暴露在攻击者面前。若用户手机遗失，则黑客可以了解用户进行的过的相关交易信息，甚至可以冒充用户登录进行交易。
? 风险范围：20%
4. 调试信息泄漏
? 风险描述：客户端APP将开发时帮助调试的信息打印出来，这些信息通常包含一些敏感的参数，消息的明文等。
? 危害指数：
该风险可导致用户在使用APP过程中发生的金融交易信息等秘密数据会被同一台手机上其它APP任意获取，若同一台手机上安装了恶意软件或相关高风险的信息搜集软件，则相关交易信息可能外泄。
? 风险范围：30%
5. 敏感信息泄漏
? 风险描述：客户端APP代码中泄漏敏感数据，如对称加密密钥，非对称加密中的私钥，认证使用的共享密钥，不应被暴露的后台服务器管理地址等等。
? 危害指数：
该风险可导致用户进行的金融交易信息、密码口令等秘密数据存在被解密的风险。若解密成功，黑客不仅可以监听用户进行的所有交易信息，还可以篡改交易内容。
? 风险范围：30%
6. 密码学误用
? 风险描述：客户端APP代码中使用了不安全的密码学实现，例如固定硬编码的对称加密，ECB模式的对称加密，CBC模式中IV固定，不安全的公钥进行非对称加密等。
? 危害指数：
该风险可导致用户进行的金融交易信息、密码口令等秘密数据可能会被解密。黑客可以监听用户进行的所有交易信息。
? 风险范围：40%
7. 功能泄露
? 风险描述：客户端APP中高权限的行为和功能（如发送短信，读取联系人等）没有被安全的保护，被其他无授权的应用程序调用或访问。
? 危害指数：
该风险可导致用户相关金融交易可能会被同一台设备上其它APP获取，若其它APP中存在恶意软件，就可以监听用户进行的所有交易信息。
? 风险范围：35%
8. 可二次打包
? 风险描述：客户端APP可被修改代码后，重新打包发布在市场上供用户下载。
? 危害指数：
该风险可导致用户容易下载到破解版的APP，用户一旦下载安装这类破解版APP，会导致所有秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息，还可以篡改交易内容甚至冒充用户登录进行交易。
? 风险范围：50%
? 风险描述：客户端APP能够被调试，动态的提取、修改运行时的程序数据和逻辑。
? 危害指数：
该风险可导致用户手机在被恶意软件root之后，进行的金融交易信息、密码口令等秘密数据完全暴露在攻击者面前。黑客不仅可以监听用户进行的所有交易信息，还可以篡改交易内容甚至冒充用户登录进行交易。
? 风险范围：70%
10. 代码可逆向
? 风险描述：客户端APP的逻辑能够被轻易获取和逆向，得到代码和程序中的敏感数据。
? 危害指数：
该风险可导致攻击者更为方便的理解程序逻辑，降低攻击门槛，制作仿冒APP。
? 风险范围：70%
二、移动互联网金融APP的潜在风险及解决办法
1. 潜在风险
本次移动互联网金融类APP安全评测由国内权威的测试机构、研究机构和安全服务企业（中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室、上海掌御信息科技有限公司）联合完成，整个检测过程耗时29天，对样本中的88个互联网金融类移动应用APP进行了深入测试，发现了大量安全问题。我们测试发现，参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况，并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。
作为与移动互联网金融安全息息相关的关键对象，金融类APP存在诸多的安全隐患，考虑到我们的测试对象均关系到高度敏感的用户金融交易，我们指出，移动互联网金融APP的安全性与国计民生紧密关联。随着移动互联网的普及，更多的用户开始使用金融APP进行在线金融交易，目前移动金融理财领域的用户规模目前超过 8.2 亿，在 12.8 亿的总移动互联网用户中占比超过 60%。从用户行为上看，金融理财应用的安装数量和打开数量遥遥领先于餐饮、旅游、出行、医疗等行业，且涉及的财产数量巨大。一旦不法分子利用此类APP中存在的安全漏洞进行攻击，轻则盗窃无辜民众财产，重则扰乱金融市场秩序，甚至对国家和社会的安全稳定发展造成极大负面影响。
2. 解决方法
2.1. 构建权威性的安全标准
尽管移动互联网和智能移动终端设备的发展已经在过去的十年间取得了长足进步，但是在安全防护方面一直缺乏相应的跟进措施。目前国际上已有的互联网安全评测体系或工具都是针对传统网络结构，或者只就某一项（入侵检测、数据泄漏等）指标进行评测，例如美国国家标准技术研究所（NIST）虽然给出了各种层次和系统的安全标准（建议），但并没有为移动智能终端相关的安全性制定统一标准。移动智能终端相关的安全评测体系尚且十分缺乏，移动金融APP的安全则更加缺乏实际的测试评估工作。
国内目前已发布的移动应用软件安全相关标准中，与金融APP相关的内容包括中国银联编写的《移动终端支付应用软件安全规范》，该规范主要针对的是银行类应用的安全实现，规范了基于智能卡客户端、无智能卡客户端、基于移动终端浏览器支付软件架构以及支付应用软件的安全要求、后台系统的安全要求、用户安全要求、数据安全要求、客户端支付软件和智能卡的交互安全等。而对于金融APP软件，在开发过程中往往对上述安全问题没有特别严格的要求，因而存在的问题远远多于支付类应用软件。这也充分说明，如果能够为金融类APP开发制定一套详细的安全规范和测试安全标准，必将有效地降低金融类APP安全问题发生的概率。本《白皮书》中对于金融类APP的测试实属首次。我们希望通过全面深入的实际测试，总结出一套金融类APP应该遵循的安全规范和测试安全标准，并为后续开发人员提供指导。
2.2. 政策推动
APP安全特别是金融类APP的安全，是国家、开发商、广大用户三方面共同的需求。国家对APP安全的规范工作正在不断建设与完善。2014年4月至9月工业和信息化部联合公安部、工商总局在全国范围开展“打击治理移动互联网恶意程序专项行动”，将互联网恶意程序设为重点打击治理项目之一。2015年底，工业和信息化部对《移动智能终端应用软件（APP）预置和分发管理暂行规定》公开征求意见，并将于年内正式发布实施，以规范APP的预置和分发，要求智能手机应用程序内置和上架分发前进行安全测试，并组织第三方评估和抽查，而且相关的国家实验室和研究院都参与到其中。在金融APP领域，也亟需从国家、政府层面上推行相关的政策，强制要求APP开发商和运营企业接受安全检测，遵守安全规范，从而进一步推动移动互联网金融安全工作，提高系统安全水平。
2.3. 构建企业广泛参与的安全生态
移动生态环境长期以来一直是由诸多软硬件厂商、开发人员和各大运营商共同推动发展。随着APP市场发展周期的推进，错综复杂的安全情况，越来越高频的安全威胁，都预示着APP安全攻防战场将更加焦灼，仅仅通过某一单一组织来保证移动生态环境的信息安全是不现实的。参考互联网移动端安全发展的轨迹，APP开发者与独立的第三方APP安全测试机构、安全服务提供企业合作，将成为互联网移动端安防的主流趋势。
在实际安全攻防过程中，政策的制定必须和现实密切契合，也就是说必须通过真实的安全威胁、安全攻击来总结出相应的策略，执行相关安全检测。在这一点上，我们主张由那些在第一线上从事安全分析和安全服务的企业来提出相关策略，由第三方权威测试机构来引导和制定相关检测规范，引导APP开发商和服务提供商实现更为安全的产品。
2.4. 普及安全知识，提高国民信息安全意识
在本次测试过程中，我们也发现在现实生活中，许多用户认为对于移动互联网金融APP，只要是通过正规的渠道下载并在安全的网络环境下使用，再担心安全问题是多余的。但是我们的测试表明，大部分金融APP的密码学应用存在问题，其数据保护机制不完整，缺少检验。如果APP自身就存在安全方面的隐患甚至是安全漏洞，那么就很有可能轻易被黑客攻击，从而造成用户的信息泄露和财产损失。
下面是本次测试的主要承担方——上海掌御科技有限公司的信息安全专家指出一些较为常见的，存在于移动互联网金融APP中的安全问题以及相应的对策：
及时升级金融APP，保持最新版本，防止旧版本安全漏洞遭到利用；
使用专用的移动设备和移动网络进行操作，并及时升级移动操作系统；
关注权威测评机构最新发布的金融APP安全测试报告。
同时，上海掌御科技有限公司的信息安全专家也对金融APP的开发商提出了相关建议。从我们的测试情况来看，当前存在的大部分问题是因为开发人员缺乏安全意识和专业的安全开发知识所导致，开发人员在设计数据保护方案，特别是针对深层核心的敏感数据的保护方案时，务必对方案进行严格的安全论证。在对加密算法、协议等的应用方面，没有把握的情况下应当咨询专业研究团队并进行相关安全审计。
关于检测对象的选择
此次检测对象的选择是基于移动互联网金融平台权威网站“网贷之家”（http://www.wdzj.com/）根据其自有参数“发展指数”在其“评级”板块之中对各移动互联网金融APP的排名及相关数据的呈现。
“网贷之家”的“评级”页面
我们对“网贷之家”网站“评级”（http://www.wdzj.com/pingji.html）栏目下2015年我国移动互联网金融APP全年运营数据的统计中各月“发展指数”排名近100位的数据进行逐月采集，并进行算数平均、全年综合排名（“发展指数”由高到低），得出年度近100位作为此次互联网金融APP金融信息安全现状检测的最终样本库。
全年数据采集整理（示例）
本次移动互联网金融APP信息安全检测名单
本《白皮书》的详细版本包含了对如下金融APP的完整的信息安全分析内容，如需阅读请联系此次的发布单位（上海淳粹文化传媒有限公司），咨询电话：400-，邮箱：。
com.lufax.android
com.ppdai.lender
com.renrendai.finance
com.renrun.aphone.app
com.yirendai
com.yrz.atourong
com.yinker.android
XinRong Credit
com.xinrong
com.yinhu.app
com.hexindai.hxd
com.eloancn.mclient
com.pmp.ppmoney
com.chinaideal.bkclient.tabmain
com.lr.jimubox
cn.touna.touna
com.shengcaijinrong.hybird
com.usky.hponline
com.rrjc.activity
com.jewelcredit
温商贷理财
com.wsloan
com.iqianjin.client
com.bmsoft.kingkaid
com.wljr.wanglibao
com.xiaoniu.finance
com.yonglibao.android
com.xiangshang.xiangshang
com.shangpuyun.gcjr
com.xinxindai.fiance
io.dcloud.H58A3A0F6
com.ddxl.app.view
com.xzck.wallet
com.leadercf.AndroidAPP
caffp2p.android
com.jxtuan.zhongxin
com.esudai.esd
com.baocai.p2p
com.gzjkp2p
com.p2phx.ui
com.defineapp.subangloan
com.wyjr.jinrong
com.apengdai.app
com.tengniu.p2p.tnp2p
com.yingzt.invest
com.yyfax.app
com.zrcaifu
com.jinxin.android
com.yp.yprich
com.dmlc.app.android
com.duanrong.app
com.shouhulife.ui
com.wltx.licaifan
com.wenzhoudai.view
com.eloan.invest
cn.helloan.app
合时代金融
cn.heshidai.app
com.xinlian.newunion
com.junanxinnew.anxindainew
com.huiyingdai.apptest
com.yesvion.yueshangdai
com.antourong.itouzi
com.jbb.android.mobile
com.jinlianchu.app
com.eten.myriches
com.zfl.webapp.view
com.nonoapp
com.yindou.app
com.kd.bjd
com.quanmai.hhedai
cn.com.jinyinmao.app
com.liyedai.sp2p
com.homelinkLicai.activity
点融网理财
dianrong.com
com.jd.jrapp
民贷天下理财
com.mdcn.mdonline
com.penging
com.xiaoyoucai
com.rmbbox.bbt
com.jxjr.app.android
com.bm.qianba
融贝网理财
com.rongbei
铜掌柜理财
com.tongmi.tzg
注：以上排名不分先后。
互联网金融APP问题也算是普罗大众的老大难问题了，毕竟，老百姓口袋里的钱都是自己用辛勤的汗水换来的。然而很多人对于APP的漏洞问题了解得非常少，有的用户甚至连有漏洞这件事都是无所知的，以至于让一些不法分子钻了漏洞。所以普及这些知识是有很大必要性的。
至此，《白皮书》专题的所有内容全部分享完毕，谢谢关注！
本文为原创，如欲转载或商务合作，您须事先在该订阅号留言，或联系QQ：，或发送邮件至，说明您的媒体、您欲转载的文章题目及转载缘由，在取得我们的正式许可后方可转载，并在转载时满足以下要求：
1、注明“作者”为“淳粹传媒”；
2、注明“该文章始发于微信订阅号‘数知媒’”；
3、“阅读原文”指向微信订阅号“数知媒“始发该文的相应页面；
4、经转载的原文内容不得修改、遗漏、省略（包括正文及文末彩蛋、作者介绍等所有内容）。 否则视为侵权，我们将行使追究侵权方相应责任的权力，特此声明！
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点陆金所稳盈变现通怎么样？
陆金所稳盈变现通是什么？
类似于其他平台的周转贷或者净值贷，也就是所谓的“黄牛标”，就是以自己所投资的项目为抵押，反过来再向平台借钱。这里的专享理财项目包括彩虹、财富汇、安鑫系列。“变现通”，顾名思意就是为了给急需用钱的投资者提供的一种变现手段。
稳盈变现通，1万起投，年华收益4.1%-4.8%，收益方式为一次性还本付息，T+1计息，项目到期日即为收款日。
稳盈变现通风险大吗？
借款人违约风险：有借款人在陆金所的未到期的标的作为抵押，如果借款人未还款，那么平台将其项目回款直接打给投资人，所以借款人违约风险得到了有效的控制，问题不大。
抵押标的风险：作为抵押物的专享理财项目（彩虹、财富汇、安鑫）风险如何可以参照具体的项目介绍，目前来看风险不大，即使发生坏账平安也会百分之百代偿，不管有无担保（相关阅读：?）。
投资稳盈变现通还需要注意什么？
1，在发生借款人逾期的情况下，并不是立刻就能代偿，还要等借款人自己所抵押的那个专享理财项目到期了有回款了才行，假设专享理财还剩余100天才到期，那么这笔变现通借款也要等到100天之后才能得到代偿（包括罚息）；
2，借款人逾期的情况下也会有罚息，比如稳盈变现通是1号到期，抵押的专享理财项目是30号到期回款了，那么30号当天稳盈变现通的投资者不但能收到约定的本金和利息，还能收到逾期的29天的罚息；
3，逾期的罚息是原收益的1.8倍，45天变现通的年化收益率是4.8%，那么逾期的罚息就是8.64%。注意罚息的利率甚至会超过变现人本来所持有的专享理财的利率，因此这会在很大程度上减少逾期的概率；
4，提到稳盈变现通，就必然需要了解他的杠杆功能，可以参考的教程：
5，关于稳盈变现通的更多信息，可以查阅官方的说明页面：Aleliy喜欢的音乐 - 歌单 - 网易云音乐
Aleliy喜欢的音乐
播放：64次
网易云音乐多端下载
同步歌单，随时畅听320k好音乐
网易公司版权所有(C)杭州乐读科技有限公司运营：
违法和不良信息举报电话：6
举报邮箱：2被浏览758分享邀请回答cnblogs.com/yelaiju/archive//2173893.html0添加评论分享收藏感谢收起写回答}