金融科技产品认证-移动金融APP检测备案常见问题总结 2024-06-16 13:31:16 年底了,对一年中的项目和学习到的东西做一些回顾,这里就对金融科技产品认证中的移动金融APP备案的常见问题进行总结,对有备案需求的也可以参考此文档进行自查,增加备案认证通过的几率,以笔者的经验来看,移动金融APP检测备案针对问题定级还在根据反馈上去的实际情况进行不断的调整,所以此文中的问题定级也不一定是完全正确的。一、客户端软件安全问题1.1 短信验证码短信内容中未告知办理业务类型标准条目:[移动金融客户端应用软件安全管理规范-5.1.1.d]若采用短信验证码作为验证要素,短信验证码应仅使用一次,仅限于在规定时间内使用,短信验证码应具备长度和随机性的要求,短信验证码所在的短信内容中,应告知用户短信验证码的用途;问题等级:一般问题描述:短信验证码所在的短信内容未告知用户短信验证码的用途。1.2 系统存在越权漏洞标准条目:[移动金融客户端应用软件安全管理规范-5.2.1.a]对于认证、校验等安全保证功能的流程设计应充分考虑其合理性,避免逻辑漏洞的出现,确保认证流程无法被绕过。问题等级:严重问题描述:系统存在越权漏洞,比如修改卡号参数AcctNo或AcNo,可以越权访问其他银行卡的交易明细或账户信息1.3 SSL通讯协议支持的加密套件中包含弱加密算法标准条目:[移动金融客户端应用软件安全管理规范-5.5.3.1.a]应在客户端应用软件与服务器之间建立安全的信息传输通道,协议版本应及时更新至安全稳定版本。问题等级:一般问题描述:客户端和服务器数据交互时使用HTTPS加密通道,但服务端所支持的加密套件中包含弱加密算法。1.4 客户端与服务端未实现双向认证标准条目:[移动金融客户端应用软件安全管理规范-5.5.3.1.d]客户端应用软件与服务器应进行双向认证,可通过密钥、证书等密码技术手段实现服务器与客户端应用软件之间的安全认证。问题等级:一般问题描述:客户端和服务器数据交互时使用HTTPS加密通道,但客户端与服务端未进行双向认证,通过中间人代理软件可以抓取到通讯数据包。1.5 修改密码前未对用户身份进行重新验证标准条目:[移动金融客户端应用软件安全管理规范-5.1.4.c]修改密码前,应对用户身份进行重新验证问题等级:严重问题描述:密码在进行修改时未验证原密码或原手势密码,直接进入新密码/新手势密码修改界面。1.6 客户端缺乏单点登录、登录超时策略问题等级:一般标准条目:[移动金融客户端应用软件安全管理规范-5.2.3.a] 当用户闲置在线状态超出时限时,应设计合理的账户登录超时控制策略;合理的多点登录策略,如:提示登录信息或退出先登录的账户等策略。问题描述:客户端未启用单点登录和登录超时策略,系统允许同一个账号在不同设备同时登录,登录成功后无空闲会话超时策略,长时间不操作不会自动退出或强制注销会话。1.7 运行日志中明文打印敏感信息问题等级:一般标准条目:[移动金融客户端应用软件安全管理规范-5.5.1.1.d] 客户端应用软件运行日志中不应打印支付敏感信息,不应打印完整的敏感数据原文。问题描述:客户端软件存在打印log日志的情况,在测试时发现客户端的log日志中打印了敏感信息,比如登录时的账号和密码hash。1.8 密码算法强度不符合要求问题等级:严重标准条目:[移动金融客户端应用软件安全管理规范-5.4.1] 密码算法、密钥长度及密钥管理方式应符合国家密码主管部门的要求。问题描述:在测试后发现仅使用MD5消息摘要算法对密码进行处理。1.9 客户端无法提供对敏感信息输入的即时防护功能问题等级:严重(银行卡支付密码和网络支付密码)/一般(登录密码)标准条目:[移动金融客户端应用软件安全管理规范-5.1.2.1] 客户端应提供银行卡支付密码和网络支付密码的即时防护功能。问题描述:APP只是在应用层对密码通过加密后进行传输,有些甚至存在短暂回显,通过hook或者截屏等方式可以截获敏感信息。1.10客户端在身份认证时报文不具备抗重放措施问题等级:严重标准条目:[移动金融客户端应用软件安全管理规范-5.5.3.5]通过客户端应用软件发起的身份认证或资金类交易报文,应能够防止重放攻击。问题描述:APP客户端身份认证过程(登录)数据包不具备抗重放攻击的防护措施。1.11客户端退出后,会话未被及时注销问题级别:一般标准条目:[移动金融客户端应用软件安全管理规范-5.5.6.3] 客户端应用软件在安全退出登录时,应向服务器发送会话结束请求,使当前会话状态失效。问题描述:客户端APP在点击 “退出”按钮后,APP直接退出,但会话未及时注销。可通过数据包重放继续执行查询等业务。1.12客户端未具备对风险运行环境的检测能力问题等级:严重标准条目:[移动金融客户端应用软件安全管理规范-5.3.4] 客户端应用软件在运行时应具备对运行环境的检查能力,检查的范围可包括:系统是否被未经授权获取管理员权限、程序运行环境是否可信(如:是否运行在模拟器或虚拟机中)等,并能向后台系统反馈设备信息等。问题描述:客户端软件在运行时未检测系统环境安全(如:是否为root环境或越狱环境)并向用户反馈相应的风险提示。1.13页面返回缺乏保护机制问题等级:一般标准条目:[移动金融客户端应用软件安全管理规范-5.5.6.2] 客户端应用软件应支持页面返回后自动清除卡密码、网络支付密码、登录口令等支付敏感信息问题描述:APP客户端软件在修改支付密码时,点击下一步后,返回后再次进入页面依然保留着用户输入的支付密码信息,未自动清除敏感信息。1.14客户端未对个人金融信息进行严格屏蔽问题等级:一般/严重标准条目:[移动金融客户端应用软件安全管理规范-5.3.3] 客户端应用软件不应明文显示银行卡和网络支付密码,并对用户主体信息进行屏蔽展示,防范信息泄露的风险。对账户号码、身份证号码、姓名等敏感数据未在显示时进行屏蔽,为一般问题;对交易密码、CVN等支付敏感信息时为严重问题问题描述:APP中全字段展示了用户卡号、身份证号、姓名、住址等信息。1.15客户端软件未经过加壳保护,不具备防静态分析的能力问题等级:一般标准条目:[移动金融客户端应用软件安全管理规范-5.3.3] 客户端代码应使用代码加壳、代码混淆、检测调试器等手段对客户端应用软件进行安全保护。问题描述:客户端软件未经过加壳保护,不具备防静态分析的能力。二、条码支付客户端安全问题2.1 条码无自动更新机制;条码无防截屏措施问题等级:一般标准条目:[条码支付移动客户端软件检测规范-4.7.2.1] 是否具备防止截屏等方式窃取展示条码的措施;是否限制条码的使用次数和展示周期。问题描述:生成的付款码未定期自动更新,且无手动更新的选项,付款码展示界面未实现防截屏功能或截屏风险提示。2.2 条码支付限额及对应风险防范能力不符合要求问题等级:严重标准条目:[条码支付移动客户端软件检测规范-4.10.2] 客户端发起的交易根据不同风险防范能力设置相应的日累计交易限额问题描述:条码支付日累计交易金额大于1000元时,未采取两类及以上的交易要素验证,如短信验证码 交易密码;条码支付日累计交易限额大于5000元但未采取数字证书进行双因素验证的。2.3二维码支付在开通、交易环节未给与用户支付风险提示问题级别:一般标准条目:[条码支付移动客户端软件检测规范-4.11.2] 检查客户端软件是否能够在交易过程中给予必要的支付风险提示。[条码支付移动客户端软件检测规范-4.11.4]应向客户明确提示相关的安全风险和注意事项。应给予必要的支付风险提示,可在每次交易过程中提示,也可在业务开通等环节中提示。问题描述:二维码支付在开通、交易环节都未向用户提供必要的支付风险提示。2.5 客户端在展示条码前未进行身份认证问题等级:严重标准条目:[条码支付移动客户端软件检测规范-4.7.2.1] 客户端展示条码前是否进行身份认证。问题描述:客户端条码在展示前未进行身份认证。2.4 扫码支付时未对二维码进行有效性校验问题等级:一般标准条目:[条码支付移动客户端软件检测规范-4.8] 检查条码识读时,是否对识读的信息采取了保护措施。检查条码识别时是否对识读的信息进行了完整性、真实性的校验。检查条码解析程序自身的健壮性。检查客户端是否具备识别病毒、木马等恶意代码的能力,是否具备保障交易安全的能力。问题描述:客户端扫码支付时,扫描非法的二维码可直接访问该非法页面。三、个人信息安全问题3.1 未让用户手动选择同意隐私政策问题等级:一般标准条目:[App违法违规收集使用个人信息行为认定方法] 以默认选择同意隐私政策等非明示方式征求用户同意。问题描述:APP客户端首次运行时,隐私协议只有“同意”按钮,无“拒绝”选项,客户无选择权。3.2 客户端未提供是否开启定向推送信息的选项问题等级:一般标准条目:[App违法违规收集使用个人信息行为认定方法] 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项问题描述:客户端软件在隐私政策中申明具有包括收集厂商Push推送、特定事件提醒、个性化内容推荐等的消息推送,但未提供是否开启定向推送信息的选项,客户无法关闭定向推送接收服务。3.3 未提供个人信息安全投诉、举报渠道及处理时长问题等级:一般标准条目:[App违法违规收集使用个人信息行为认定方法] 未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。问题描述:客户端隐私策略中未提供信息安全投诉处理时长。3.4 未逐一列出APP及使用的第三方SDK收集使用个人信息的目的、方式和范围问题等级:一般标准条目:[App违法违规收集使用个人信息行为认定方法]未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。问题描述:App隐私协议中逐一列出了手机APP使用个人信息的目的、方式、范围,但未逐一列出使用的第三方SDK收集使用个人信息的目的、方式、范围。3.5 客户端未提供有效的更正、删除个人信息及注销用户账号功能或渠道问题等级:一般标准条目:[App违法违规收集使用个人信息行为认定方法] 未提供有效的更正、删除个人信息及注销用户账号功能问题描述:客户端中提供了用户信息更正功能,但未提供删除及注销用户账户相关的一些功能或渠道。3.6 隐私政策不易访问问题等级:一般标准条目:[App违法违规收集使用个人信息行为认定方法]隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到问题描述:客户端隐私政策收集规则难以访问,只在初次安装打开时会弹框显示隐私协议,进入APP后无法访问隐私政策。3.8 未向用户提供撤回同意收集个人信息的途径、方式问题等级:一般标准条目:[App违法违规收集使用个人信息行为认定方法]未向用户提供撤回同意收集个人信息的途径、方式问题描述:客户端隐私政策中未向用户提供撤回同意收集个人信息的方式或渠道。 参考文献[1]移动金融客户端应用软件安全管理规范[2]App违法违规收集使用个人信息行为认定方法[3]条码支付移动客户端软件检测规范 赞 (0) 相关推荐 app开发的基本步骤,你知道了吗? 好多人都想开发自己的独立app,那app要怎样开发呢?或者我需要了解什么了? 介绍 App都有哪些类型,不同类型的 app开发需要什么技术,用户可以根据自己的需求选择 App进行开发,那么如果想要开发 ... 这157款APP,限期整改! 这157款APP,限期整改! 财富管理行业周报266期丨招商银行与京东数科合作直销银行,金融科技独角兽平安金融壹账通计划赴美上市 第二家法人直销银行招东银行紧张筹备,招商银行.京东数科为股东:北京保险销售再整肃,银保监局连发两文,严禁变相返佣,中介机构必须有独立场所:健康险前三季度保费收入5677亿元同比增31% 明年有望破万亿 ... “金融科技价值——数据驱动金融商业裂变”主论坛精彩纷呈,看企业大佬们眼中的Fintech2.0新时代 10月25日,由数据猿和<清华金融评论>联合举办的"2017金融科技--数据驱动金融商业裂变价值峰会"大型主题策划活动盛大召开. 作者 | 张俊潇 官网 | www.d ... 融360|简普科技畅谈金融科技发展趋势 世界金融科技论坛圆满落幕 原标题:融360|简普科技畅谈金融科技发展趋势 世界金融科技论坛圆满落幕 近年来,金融科技发展迅猛.而疫情时代的来临,成为金融科技变革的转折点.日前,在北京举行的2020新加坡金融科技节直播活动--世 ... 【双11战报】金融科技公司京东金融 苏宁金融 乐信最终战绩PK 导读:11月12日零时,站在12年轮回关口上的"双11"活动落下帷幕,电商平台号称纷纷刷新"记录".在疫情影响下京东.拼多多.苏宁易购.天猫等主导的购物狂欢节全 ... 五道口金融论坛聚焦金融科技:助力金融供给侧改革 提升市场效率 " 摘要:金融科技是金融业改革创新浪潮的前沿,其本身就是深化金融供给侧结构性改革,提升金融服务实体经济质量和效率的重要方式,也引领着未来金融业的发展方向. " 金融科技是金融业改革 ... 吴清:金融科技就是未来金融发展的制高点 上证报中国证券网讯(记者 魏倩)24日,全球顶级金融科技盛会--"外滩大会"正在黄浦江畔进行.上海市市委常委.副市长吴清在主论坛致辞时指出,新一轮科技创新给金融行业带来了深刻变革, ... 金融科技,互联网金融换个“马甲”玩? 如果说,2013年,"互联网金融"是金融行业里的主角,那么,现在主角换成了"金融科技(FinTech)". "金融科技是2017年金融行业的重头戏.& ... 当金融科技公司撕下“金融”标签 本文由公众号"苏宁金融研究院"原创,作者为苏宁金融研究院副院长薛洪言. 近年来,金融科技公司对金融属性避之不及--剥离"金融"的标签,向"科技&quo ... 兴铭控股被类资金盘虚拟币傍身背书,更名温莎金融科技计划终止,所涉项目APP数据已清空、“成功学大师”俞凌雄变相站台 蓝鲸财经旗下,专注互联网金融领域独家报道,大大集团.中晋.快鹿.链家金融.海通布局互金等独家线索均已10万+并引起大量媒体跟进.蓝鲸是重要财经资讯门户+财经记者工作平台,拥有150家媒体传播资源,每天 ...