隨著移動金融App記錄名單的公布，規(guī)范金融數(shù)據(jù)安全也成為2020年上半年金融技術(shù)監(jiān)管工作的主旋律，特別是密碼保護、個人信息安全等，成為治理的焦點。

為給金融App治理工作進一步提供參考，南都金融合規(guī)研究課題組，以去年11月央行下發(fā)的《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》為依據(jù)，從消費者角度，針對64個主流移動金融App，圍繞身份認(rèn)證、密碼操作和個人金融信息展示等維度進行實測，形成“2020財經(jīng)半年報”之移動金融App賬戶密碼安全合規(guī)榜。結(jié)果顯示，近七成所測App在登陸、交易頁面存在密碼安全隱患。

南都金融合規(guī)研究課題組參考《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》（以下簡稱“規(guī)范”），設(shè)定了包括身份認(rèn)證安全、密碼操作安全和個人金融信息展示安全在內(nèi)的3個一級維度、29個分項指標(biāo)。通過下載、注冊、實操使用等環(huán)節(jié)，對64個常用的移動金融App進行了兩周的專項測評，主要涉及互聯(lián)網(wǎng)公司旗下互金App 22個、金融科技公司旗下互金App 19個、消費金融公司App 23個。

近兩成被測移動金融App賬戶安全不及格

從整體排名情況來看，分?jǐn)?shù)在80分以上的被測互金App與分?jǐn)?shù)未達到60分的各占近兩成。在“相對優(yōu)秀生”中，60%以上都是持牌金融機構(gòu)的消費金融公司旗下App；而在“相對后進生”中，近60%都是互聯(lián)網(wǎng)公司旗下的App。

百度系的兩款A(yù)pp“有錢花”和“度小滿金融”拔得頭籌，“支付寶”位列第6。值得注意的是，處于及格線以下的App中，也有的來自互聯(lián)網(wǎng)巨頭公司和頭部金融科技企業(yè)，如新浪系的3個被測App“新浪金融”、“新浪分期”和“浪小花”都在墊底行列中，360金融旗下的“360信用生活”、小米金融旗下的“小米貸款”、金山集團旗下的“金山金融”和眾安科技旗下的“眾安小貸”成績也不理想。

七成被測App可截屏密碼

具體來看，比較嚴(yán)重的安全隱患集中在用戶進行身份認(rèn)證時的信息外泄問題。根據(jù)《規(guī)范》要求，客戶端應(yīng)用軟件應(yīng)事先身份認(rèn)證過程的防截屏、錄屏。但實測發(fā)現(xiàn)，近七成被測移動金融App在用戶輸入登錄密碼、登錄驗證碼、交易密碼，修改登錄密碼、交易密碼時均無防截屏、錄屏的功能。

南都金融合規(guī)研究課題組測評發(fā)現(xiàn)，在實名認(rèn)證時，要求用戶上傳身份證圖片，但未做敏感信息收集用途的承諾，存在身份證圖片外泄風(fēng)險。近半數(shù)所測App要求用戶上傳身份證正反面圖片，但卻無“僅用于身份驗證”的水印，頁面亦無任何安全性提示或承諾；另有兩成被測App雖然未打水印，但在上傳頁面作出“僅為平臺審核用”等安全性承諾；只有“支付寶”、“有錢花”、“度小滿金融”、“維信卡卡貸”、“你我貸借款”、“還唄”和“小花錢包”7個App在用戶上傳的身份證正反面圖片上打水印提示“僅為平臺審核用”。

順豐金融App等可展示用戶信息

此外，《規(guī)范》要求，除交易對賬、轉(zhuǎn)賬收款方確認(rèn)等必須由用戶確認(rèn)的情況外，客戶端應(yīng)用軟件在顯示個人信息時，屏蔽關(guān)鍵字段。從測評記錄來看，被測試App在對個人金融信息進行屏蔽展示方面做得都還不錯，但有個別App對用戶姓名進行了全部展示，例如“金山金融”、“順豐金融”、“分期樂”、“拍拍貸借款”、“維信卡卡貸”；而“馬上金融”、“小米貸款”未做屏蔽展示了用戶的手機號碼；“翼支付”未做屏蔽展示了用戶的身份證住址。

蘇寧消費金融等支付密碼可設(shè)為123456

除了身份認(rèn)證信息的外泄，更需要關(guān)注的是密碼操作安全，這里的“密碼操作安全”，包括登錄App、在App內(nèi)進行交易的認(rèn)證要素安全和口令安全。

《規(guī)范》要求，在用戶身份認(rèn)證后，客戶端應(yīng)用軟件進入終端系統(tǒng)后臺時，如果超過設(shè)定時限后被喚醒切換到前臺，應(yīng)采取措施對用戶身份重新認(rèn)證。南都金融合規(guī)研究課題組測評發(fā)現(xiàn)，本次測評中，近半數(shù)被測移動金融App進入后臺運行后再次喚醒時，處于默認(rèn)登錄狀態(tài)，無需進行再次驗證，其中包括“京東金融”、“蘇寧金融”等。不過，南都記者發(fā)現(xiàn)，上述App可以在其“安全設(shè)置”板塊內(nèi)進行個性化設(shè)置，完成設(shè)置后，即可添加指紋、手勢、刷臉等驗證方式，但需要用戶自主手動添加，而其他未檢測出默認(rèn)登錄的App則主動引導(dǎo)用戶進行重新認(rèn)證。

南都金融合規(guī)研究課題組還發(fā)現(xiàn)，有部分App登錄時的身份認(rèn)證要素和方式太過單一。測試記錄顯示，有四分之一的被測App引導(dǎo)用戶使用“本機號碼一鍵登錄”功能，雖然看起來比較方便，但這意味著任何一個拿到這臺手機的人都可以在一款移動金融類App上來去自如。值得一提的是，消費金融公司旗下的所有App，都不允許使用“本機號碼一鍵登錄”功能。《規(guī)范》要求，移動金融App須采用兩種或兩種以上的要素對用戶身份進行認(rèn)證，而“眾安小貸”只能提供“本機號碼一鍵登錄”這一種登陸驗證方式，無法自主設(shè)置登錄密碼。

更為突出的問題在于，有超10%的被測App缺乏密碼復(fù)雜度校驗功能，密碼安全存在隱患?！兑?guī)范》規(guī)定，App應(yīng)有采取有效措施提醒用戶避免設(shè)置與常用軟件、網(wǎng)站相同或相似的用戶名和密碼組合，并采取有效措施引導(dǎo)客戶設(shè)置獨立的支付密碼。但測評中發(fā)現(xiàn)，如“新浪分期”、“永輝金融”、“小贏分期”、“中銀消費金融”、“消邦”、“蘇寧消費金融”等App，允許用戶將“123456”、“111111”這類連續(xù)數(shù)字串作為登錄密碼或支付密碼；“攜程金融”的登錄密碼和支付密碼一致，并未獨立設(shè)置支付密碼；還有“滴滴金融”、“金山金融”等23個App并未限制修改的登錄密碼不能與原密碼相同。

【測評標(biāo)準(zhǔn)說明】

本次測評，設(shè)定了身份認(rèn)證安全、密碼操作安全和個人金融信息展示安全的3個一級維度。滿分100分，計分權(quán)重分別占比50%、40%和10%。

在“身份認(rèn)證安全”維度中，涉及用戶登錄App時，是否采用適宜的驗證要素、用戶進行身份認(rèn)證時是否有防截屏錄屏功能等14個具體指標(biāo)。其中，南都金融合規(guī)研究課題組重點考查了App在要求用戶上傳身份證信息時，具體如何處理身份證圖片這類隱私信息。

在“密碼操作安全”維度中，涉及用戶輸入密碼時是否有防護、修改登錄密碼、支付密碼時，對用戶的驗證措施如何等11個具體指標(biāo)。

在“個人金融信息展示安全”維度中，主要測評了App在未登錄、已登錄、認(rèn)證失敗狀態(tài)時，如何展示用戶個人信息，是否有對銀行賬號、身份證號碼、手機號碼、姓名等進行屏蔽展示等4個具體指標(biāo)。

出品：南都財經(jīng)新聞部

測評&數(shù)據(jù)采集分析：南都記者熊潤淼實習(xí)生溫依雯陳琪琦

制圖：楊晨悅