随着各类校园互联网金融产品的问世,各类校园互联网金融APP产品也成为大学生装机必备品。然而,互联网安全专家发现,这些APP产品却存在着严重的安全隐患,甚至有些产品面临可随时串改用户数据的风险。
2016年1月,易观智库发布《2016中国校园消费金融市场专题研究报告》显示,按照2015年2600多万名在校生的基础、每人每年分期消费5000元来计算,大学生消费市场规模达千亿元。
事实上,从2014年开始,各类大学生网贷及分期付款消费的APP产品快速发展,颇有异军突起的态势。记者调查发现,现在大学生校园网贷主要分为三类:
第一种是单纯的P2P贷款平台,比如名校贷、我来贷等;第二类是学生分期购物网站,如趣分期等;第三类就是如京东、淘宝等电商平台提供的信贷业务。
但是,很多同学在享受分期消费带来的幸福感时,却忽视了这些APP所存在的安全隐患。在校园司令针对校园互金产品APP的调查中发现,很多同学并没有特别在意这些APP的安全性。江南大学学生史智中就表示,用分期买过手机和直接提现。“利息不高,使用起来挺方便的,数据泄露什么app都有可能,不是很在意。”
在校园司令的调查中发现,持有这样观点或类似观点的大学生不在少数。也有不少同学表示对APP安全的担心,但是“看着大家都在用,感觉应该没有什么问题吧,也没有听说过有什么案件。”
俗话说“实践出真知”。针对借贷类APP本身是否会对用户隐私带来威胁的问题,校园司令联系了国内APP信息安全领域的专家李博士,并通过他所带领的上海掌御科技APP安全检测小组针对几款主流的分期借贷类产品的Android版本进行了一次全面的测试。
测试所用产品选择了时下大学生群体接受度较高的趣分期、分期乐和爱学贷。然而,检测结果却让人感到吃惊。
有的APP产品竟然连基本的加密算法都没有,如趣分期和分期乐APP所有的业务数据,甚至包括用户账户、密码都没有进行任何加密,与服务器的数据交互也全部采用明文传输,不适用任何加密算法,因此APP所有的数据都面临着极大的安全风险。
这就意味着任何人都可以通过Wi-Fi设备对使用者进行数据监控,甚至可以篡改身份、交易数据,让用户“蒙受不白之冤”。
爱学贷APP虽然对业务数据做了一定的加密,但却采用固定的加密秘钥,并且将秘钥明文存储在APP中,黑客可以方便地提取,让App的加密形同虚设。
根据李博士的报告显示,测试人员通过简单的模拟攻击,就抓到了爱学贷APP用户使用的密码。
联系我们
广告指南
