金融App谁家账户密码安全有隐患？新浪分期和浪小花测评垫底

随着一批批移动金融App备案名单出炉，规范金融数据安全也成为2020年上半年金融科技监管工作的主旋律，尤其密码防护、个人信息安全等方面，是治理的聚焦点。为给金融App治理工作进一步提供参考，南都金融合规研究课题组，以去年11月央行下发的《移动金融客户端应用软件安全管理规范》为依据，从消费者角度，针对64个主流移动金融App ，围绕身份认证、密码操作和个人金融信息展示等维度进行实测，形成“2020财经半年报”之移动金融App账户密码安全合规榜。结果显示，近七成所测App在登陆、交易页面存在密码安全隐患。

文章图片

南都金融合规研究课题组参考《移动金融客户端应用软件安全管理规范》（以下简称“规范”），设定了包括身份认证安全、密码操作安全和个人金融信息展示安全在内的3个一级维度、29个分项指标。通过下载、注册、实操使用等环节，对64个常用的移动金融App进行了两周的专项测评，主要涉及互联网公司旗下互金App 22个、金融科技公司旗下互金App 19个、消费金融公司App 23个。
近两成被测移动金融App账户安全不及格
从整体排名情况来看，分数在80分以上的被测互金App与分数未达到60分的各占近两成。在“相对优秀生”中， 60%以上都是持牌金融机构的消费金融公司旗下App；而在“相对后进生”中，近60%都是互联网公司旗下的App 。
百度系的两款App“有钱花”和“度小满金融”拔得头筹， “支付宝”位列第6 。值得注意的是，处于及格线以下的App中，也有的来自互联网巨头公司和头部金融科技企业，如新浪系的3个被测App“新浪金融”、“新浪分期”和“浪小花”都在垫底行列中， 360金融旗下的“360信用生活”、小米金融旗下的“小米贷款”、金山集团旗下的“金山金融”和众安科技旗下的“众安小贷”成绩也不理想。

文章图片

七成被测App可截屏密码

文章图片

具体来看，比较严重的安全隐患集中在用户进行身份认证时的信息外泄问题。根据《规范》要求，客户端应用软件应事先身份认证过程的防截屏、录屏。但实测发现，近七成被测移动金融App在用户输入登录密码、登录验证码、交易密码，修改登录密码、交易密码时均无防截屏、录屏的功能。

文章图片

南都金融合规研究课题组测评发现，在实名认证时，要求用户上传身份证图片，但未做敏感信息收集用途的承诺，存在身份证图片外泄风险。近半数所测App要求用户上传身份证正反面图片，但却无“仅用于身份验证”的水印，页面亦无任何安全性提示或承诺；另有两成被测App虽然未打水印，但在上传页面作出“仅为平台审核用”等安全性承诺；只有“支付宝”、“有钱花”、“度小满金融”、“维信卡卡贷”、“你我贷借款”、“还呗”和“小花钱包”7个App在用户上传的身份证正反面图片上打水印提示“仅为平台审核用” 。

顺丰金融App等可展示用户信息
此外，《规范》要求，除交易对账、转账收款方确认等必须由用户确认的情况外，客户端应用软件在显示个人信息时，屏蔽关键字段。从测评记录来看，被测试App在对个人金融信息进行屏蔽展示方面做得都还不错，但有个别App对用户姓名进行了全部展示，例如“金山金融”、“顺丰金融”、“分期乐”、“拍拍贷借款”、“维信卡卡贷”；而“马上金融”、“小米贷款”未做屏蔽展示了用户的手机号码；“翼支付”未做屏蔽展示了用户的身份证住址。

苏宁消费金融等支付密码可设为123456
除了身份认证信息的外泄，更需要关注的是密码操作安全，这里的“密码操作安全” ，包括登录App、在App内进行交易的认证要素安全和口令安全。

文章图片