随着各类校园互联网金融产品的问世,各类校园互联网金融APP产品也成为大学生装机必备品。然而,互联网安全专家发现,这些APP产品却存在着严重的安全隐患,甚至有些产品面临可随时串改用户数据的风险。
校园互金兴起 用户安全意识淡薄
近年来,随着我国互联网消费金融的快速兴起,我国拥有4000多万名在校大学生的校园市场也成为了市场竞争的热点。
2016年1月,易观智库发布《2016中国校园消费金融市场专题研究报告》显示,按照2015年2600多万名在校生的基础、每人每年分期消费5000元来计算,大学生消费市场规模达千亿元。
事实上,从2014年开始,各类大学生网贷及分期付款消费的APP产品快速发展,颇有异军突起的态势。记者调查发现,现在大学生校园网贷主要分为三类:
第一种是单纯的P2P贷款平台,比如名校贷、我来贷等;第二类是学生分期购物网站,如趣分期等;第三类就是如京东、淘宝等电商平台提供的信贷业务。
但是,很多同学在享受分期消费带来的幸福感时,却忽视了这些APP所存在的安全隐患。在校园司令针对校园互金产品APP的调查中发现,很多同学并没有特别在意这些APP的安全性。江南大学学生史智中就表示,用分期买过手机和直接提现。“利息不高,使用起来挺方便的,数据泄露什么app都有可能,不是很在意。”
在校园司令的调查中发现,持有这样观点或类似观点的大学生不在少数。也有不少同学表示对APP安全的担心,但是“看着大家都在用,感觉应该没有什么问题吧,也没有听说过有什么案件。”
测试:校园互金产品安全隐患堪忧
俗话说“实践出真知”。针对借贷类APP本身是否会对用户隐私带来威胁的问题,校园司令联系了国内APP信息安全领域的专家李博士,并通过他所带领的上海掌御科技APP安全检测小组针对几款主流的分期借贷类产品的Android版本进行了一次全面的测试。
测试所用产品选择了时下大学生群体接受度较高的趣分期、分期乐和爱学贷。然而,检测结果却让人感到吃惊。
有的APP产品竟然连基本的加密算法都没有,如趣分期和分期乐APP所有的业务数据,甚至包括用户账户、密码都没有进行任何加密,与服务器的数据交互也全部采用明文传输,不适用任何加密算法,因此APP所有的数据都面临着极大的安全风险。
这就意味着任何人都可以通过Wi-Fi设备对使用者进行数据监控,甚至可以篡改身份、交易数据,让用户“蒙受不白之冤”。
爱学贷APP虽然对业务数据做了一定的加密,但却采用固定的加密秘钥,并且将秘钥明文存储在APP中,黑客可以方便地提取,让App的加密形同虚设。
根据李博士的报告显示,测试人员通过简单的模拟攻击,就抓到了爱学贷APP用户使用的密码。
不设防的校园互金产品 谁是最大的受害者
仅从以上三款APP的检测报告来看,校园分期借贷市场被相关产品制作方认定是毫无权益保障的区域。
专家指出,近年来,国际信用卡组织接二连三发生数据被盗事件,震惊全球金融市场,金融数据对于金融企业而言就是其信用的基石。
对于这些互金公司而言,一边是宣传自己的低息甚至免息,一边相应产品的架构却更像是赶工圈钱。缺乏技术安全保障的背后,大量金融数据存在暴露的风险,这对于一家金融企业而言,就意味最重要的数据资源可能随时被盗取。
恐怕受伤害最深的还是大学生用户。不仅个人信息会大量曝光,甚至可能因此背负巨额的“不明债务”。就产品安全导致的信息冒用来说,据校园司令的调查,有些校园分期借贷产品使用中,确实有同学依托他人信息成功借款,如此操作模式,凸显相关平台安全隐患。
没有安全底线的金融,不是真正的金融。即便互联网提供了人们生活的便利,但它同时也是最脆弱的世界。如果这些校园金融APP没有能够守住安全底线,那么又如何让莘莘学子们能够相信它们呢?
1. 检测报告由上海掌御科技的移动APP安全检测小组提供
2. 上海掌御科技是工信部电信研究院战略合作伙伴