从单独应用扩散到整个行业，问题本质是金融类 APP 的安全

移动互联网金融大行其道，各类互联网金融 APP 挤满了手机应用商店，在 2016 年第一季度国内 APP 市场上就已新增超过 100 家相对稳定运营的互联网金融 APP ，为用户提供相关产品和服务。移动互联网改变了用户的行为习惯，同时也影响了用户对互联网金融产品和服务的获得手段。

在互联网金融蓬勃的几年中，许多曾经名噪一时的金融平台都曾曝出各种各样的问题，一个接一个地倒下，其中不乏因问题严重而出现提现困难，甚至跑路的。根据互联网专业平台网贷之家 的数据统计，自 2011 年有相关正式记录以来，至 2016 年 6 月底，出现重大问题（跑路、提现困难、经侦介入等）的互联网金融平台总数为 1347 个。

目前记录在案的所有出现重大问题的互联网金融平台中，单从互联网金融平台最为兴盛的近三年来看，2014 年为 254 个，占所有出现重大问题平台的 18.86%； 2015 年为 746 个，占总数的 55.38%； 2016 上半年共出现 268 个，占总数的 19.90%。虽然从上半年的数量上看， 2016 年似乎呈现出了重大问题平台数量一定的下降趋势，但目前仅仅是半年的统计，而互联网金融平台问题高发主要出现在金融业结算、兑付频率较高的下半年，所以这表面上看似的一点点下降趋势并非真实。

尽管这些名噪一时的互金案件将大众视野都吸引到了金融安全上，也使得很多普通用户视所有金融 APP 为洪水猛兽，提到金融 APP 必言隐私泄露，但一个更为深层次的安全问题却被公众所忽视——金融 APP 自身存在的技术问题。

目前国内大部分为客户提供移动金融服务的 APP 都缺少规范的安全监管标准和流程，许多 APP 缺乏对其和业务逻辑的充分安全性测试，其原因大多是没有专业的安全测试团队，安全测试仅仅停留在表面，而且对于很多公司来讲专门聘请一个安全团队成本会有些高。这就导致了其包含的安全漏洞会将重要的数据信息暴露给黑客，将使用该应用的客户置于风险之中。

正常情况下，一名普通用户在普通的网络环境（安全的 Wifi 网络）下载和安装了上述存在问题的 APP ，然后通过 APP 去注册了金融服务的账号，并绑定了手机、注册邮箱和银行卡等个人信息。之后，用户通过该账号发起了金融交易。整个过程均为正常的用户使用流程，然而在这个过程中，黑客存在大量可乘之机，可窃取用户的关键信息并最终完成对用户行为的操作，掌握了用户关键信息后，大多会选择交易这些用户隐私数据换取丰厚的报酬，这也从侧面说明了如今骚扰电话的数量日益增多的原因。

据统计， Android 应用目前可发现的漏洞， 21%存在于 APP 自身安全漏洞上， 5%存在于通信层面上，剩下的全部漏洞均来自服务端，而目前市面上自动化安全测试的工具也仅仅能针对 APP 的风险代码进行检测和规避，而服务端和通信层面的渗透测试是很多第三方测试机构做不到的。

术业有专攻，专业的开发者与专业的安全行业从业者相比，对于漏洞的发现和危险评估必然是有一定的差距，如果能够为 APP 开发团队配置专业的第三方安全测试团队，制定一套详细的安全规范和测试安全标准，必将有效地降低金融以及其它类 APP 安全问题发生的概率，让普通用户重拾对金融类 APP 乃至整个互联网金融行业的信任。