金融科技产品认证-移动金融APP检测备案常见问题总结

年底了,对一年中的项目和学习到的东西做一些回顾,这里就对金融科技产品认证中的移动金融APP备案的常见问题进行总结,对有备案需求的也可以参考此文档进行自查,增加备案认证通过的几率,以笔者的经验来看,移动金融APP检测备案针对问题定级还在根据反馈上去的实际情况进行不断的调整,所以此文中的问题定级也不一定是完全正确的。
一、客户端软件安全问题
1.1 短信验证码短信内容中未告知办理业务类型
标准条目:[移动金融客户端应用软件安全管理规范-5.1.1.d]若采用短信验证码作为验证要素,短信验证码应仅使用一次,仅限于在规定时间内使用,短信验证码应具备长度和随机性的要求,短信验证码所在的短信内容中,应告知用户短信验证码的用途;
问题等级:一般
问题描述:短信验证码所在的短信内容未告知用户短信验证码的用途。
1.2   系统存在越权漏洞
标准条目:[移动金融客户端应用软件安全管理规范-5.2.1.a]对于认证、校验等安全保证功能的流程设计应充分考虑其合理性,避免逻辑漏洞的出现,确保认证流程无法被绕过。
问题等级:严重
问题描述:系统存在越权漏洞,比如修改卡号参数AcctNo或AcNo,可以越权访问其他银行卡的交易明细或账户信息
1.3   SSL通讯协议支持的加密套件中包含弱加密算法
标准条目:[移动金融客户端应用软件安全管理规范-5.5.3.1.a]应在客户端应用软件与服务器之间建立安全的信息传输通道,协议版本应及时更新至安全稳定版本。
问题等级:一般
问题描述:客户端和服务器数据交互时使用HTTPS加密通道,但服务端所支持的加密套件中包含弱加密算法。
1.4   客户端与服务端未实现双向认证
标准条目:[移动金融客户端应用软件安全管理规范-5.5.3.1.d]客户端应用软件与服务器应进行双向认证,可通过密钥、证书等密码技术手段实现服务器与客户端应用软件之间的安全认证。
问题等级:一般
问题描述:客户端和服务器数据交互时使用HTTPS加密通道,但客户端与服务端未进行双向认证,通过中间人代理软件可以抓取到通讯数据包。
1.5   修改密码前未对用户身份进行重新验证
标准条目:[移动金融客户端应用软件安全管理规范-5.1.4.c]修改密码前,应对用户身份进行重新验证
问题等级:严重
问题描述:密码在进行修改时未验证原密码或原手势密码,直接进入新密码/新手势密码修改界面。
1.6   客户端缺乏单点登录、登录超时策略
问题等级:一般
标准条目:[移动金融客户端应用软件安全管理规范-5.2.3.a] 当用户闲置在线状态超出时限时,应设计合理的账户登录超时控制策略;合理的多点登录策略,如:提示登录信息或退出先登录的账户等策略。
问题描述:客户端未启用单点登录和登录超时策略,系统允许同一个账号在不同设备同时登录,登录成功后无空闲会话超时策略,长时间不操作不会自动退出或强制注销会话。
1.7   运行日志中明文打印敏感信息
问题等级:一般
标准条目:[移动金融客户端应用软件安全管理规范-5.5.1.1.d] 客户端应用软件运行日志中不应打印支付敏感信息,不应打印完整的敏感数据原文。
问题描述:客户端软件存在打印log日志的情况,在测试时发现客户端的log日志中打印了敏感信息,比如登录时的账号和密码hash。
1.8   密码算法强度不符合要求
问题等级:严重
标准条目:[移动金融客户端应用软件安全管理规范-5.4.1] 密码算法、密钥长度及密钥管理方式应符合国家密码主管部门的要求。
问题描述:在测试后发现仅使用MD5消息摘要算法对密码进行处理。
1.9   客户端无法提供对敏感信息输入的即时防护功能
问题等级:严重(银行卡支付密码和网络支付密码)/一般(登录密码)
标准条目:[移动金融客户端应用软件安全管理规范-5.1.2.1] 客户端应提供银行卡支付密码和网络支付密码的即时防护功能。
问题描述:APP只是在应用层对密码通过加密后进行传输,有些甚至存在短暂回显,通过hook或者截屏等方式可以截获敏感信息。
1.10客户端在身份认证时报文不具备抗重放措施
问题等级:严重
标准条目:[移动金融客户端应用软件安全管理规范-5.5.3.5]通过客户端应用软件发起的身份认证或资金类交易报文,应能够防止重放攻击。
问题描述:APP客户端身份认证过程(登录)数据包不具备抗重放攻击的防护措施。
1.11客户端退出后,会话未被及时注销
问题级别:一般
标准条目:[移动金融客户端应用软件安全管理规范-5.5.6.3] 客户端应用软件在安全退出登录时,应向服务器发送会话结束请求,使当前会话状态失效。
问题描述:客户端APP在点击 “退出”按钮后,APP直接退出,但会话未及时注销。可通过数据包重放继续执行查询等业务。
1.12客户端未具备对风险运行环境的检测能力
问题等级:严重
标准条目:[移动金融客户端应用软件安全管理规范-5.3.4] 客户端应用软件在运行时应具备对运行环境的检查能力,检查的范围可包括:系统是否被未经授权获取管理员权限、程序运行环境是否可信(如:是否运行在模拟器或虚拟机中)等,并能向后台系统反馈设备信息等。
问题描述:客户端软件在运行时未检测系统环境安全(如:是否为root环境或越狱环境)并向用户反馈相应的风险提示。
1.13页面返回缺乏保护机制
问题等级:一般
标准条目:[移动金融客户端应用软件安全管理规范-5.5.6.2] 客户端应用软件应支持页面返回后自动清除卡密码、网络支付密码、登录口令等支付敏感信息
问题描述:APP客户端软件在修改支付密码时,点击下一步后,返回后再次进入页面依然保留着用户输入的支付密码信息,未自动清除敏感信息。
1.14客户端未对个人金融信息进行严格屏蔽
问题等级:一般/严重
标准条目:[移动金融客户端应用软件安全管理规范-5.3.3] 客户端应用软件不应明文显示银行卡和网络支付密码,并对用户主体信息进行屏蔽展示,防范信息泄露的风险。
对账户号码、身份证号码、姓名等敏感数据未在显示时进行屏蔽,为一般问题;对交易密码、CVN等支付敏感信息时为严重问题
问题描述:APP中全字段展示了用户卡号、身份证号、姓名、住址等信息。
1.15客户端软件未经过加壳保护,不具备防静态分析的能力
问题等级:一般
标准条目:[移动金融客户端应用软件安全管理规范-5.3.3] 客户端代码应使用代码加壳、代码混淆、检测调试器等手段对客户端应用软件进行安全保护。
问题描述:客户端软件未经过加壳保护,不具备防静态分析的能力。
二、条码支付客户端安全问题
2.1 条码无自动更新机制;条码无防截屏措施
问题等级:一般
标准条目:[条码支付移动客户端软件检测规范-4.7.2.1] 是否具备防止截屏等方式窃取展示条码的措施;是否限制条码的使用次数和展示周期。
问题描述:生成的付款码未定期自动更新,且无手动更新的选项,付款码展示界面未实现防截屏功能或截屏风险提示。
2.2   条码支付限额及对应风险防范能力不符合要求
问题等级:严重
标准条目:[条码支付移动客户端软件检测规范-4.10.2] 客户端发起的交易根据不同风险防范能力设置相应的日累计交易限额
问题描述:条码支付日累计交易金额大于1000元时,未采取两类及以上的交易要素验证,如短信验证码 交易密码;条码支付日累计交易限额大于5000元但未采取数字证书进行双因素验证的。
2.3二维码支付在开通、交易环节未给与用户支付风险提示
问题级别:一般
标准条目:[条码支付移动客户端软件检测规范-4.11.2] 检查客户端软件是否能够在交易过程中给予必要的支付风险提示。[条码支付移动客户端软件检测规范-4.11.4]应向客户明确提示相关的安全风险和注意事项。应给予必要的支付风险提示,可在每次交易过程中提示,也可在业务开通等环节中提示。
问题描述:二维码支付在开通、交易环节都未向用户提供必要的支付风险提示。
2.5   客户端在展示条码前未进行身份认证
问题等级:严重
标准条目:[条码支付移动客户端软件检测规范-4.7.2.1] 客户端展示条码前是否进行身份认证。
问题描述:客户端条码在展示前未进行身份认证。
2.4   扫码支付时未对二维码进行有效性校验
问题等级:一般
标准条目:[条码支付移动客户端软件检测规范-4.8] 检查条码识读时,是否对识读的信息采取了保护措施。检查条码识别时是否对识读的信息进行了完整性、真实性的校验。检查条码解析程序自身的健壮性。检查客户端是否具备识别病毒、木马等恶意代码的能力,是否具备保障交易安全的能力。
问题描述:客户端扫码支付时,扫描非法的二维码可直接访问该非法页面。
三、个人信息安全问题
3.1 未让用户手动选择同意隐私政策
问题等级:一般
标准条目:[App违法违规收集使用个人信息行为认定方法] 以默认选择同意隐私政策等非明示方式征求用户同意。
问题描述:APP客户端首次运行时,隐私协议只有“同意”按钮,无“拒绝”选项,客户无选择权。
3.2   客户端未提供是否开启定向推送信息的选项
问题等级:一般
标准条目:[App违法违规收集使用个人信息行为认定方法] 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项
问题描述:客户端软件在隐私政策中申明具有包括收集厂商Push推送、特定事件提醒、个性化内容推荐等的消息推送,但未提供是否开启定向推送信息的选项,客户无法关闭定向推送接收服务。
3.3   未提供个人信息安全投诉、举报渠道及处理时长
问题等级:一般
标准条目:[App违法违规收集使用个人信息行为认定方法] 未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)受理并处理的。
问题描述:客户端隐私策略中未提供信息安全投诉处理时长。
3.4   未逐一列出APP及使用的第三方SDK收集使用个人信息的目的、方式和范围
问题等级:一般
标准条目:[App违法违规收集使用个人信息行为认定方法]未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。
问题描述:App隐私协议中逐一列出了手机APP使用个人信息的目的、方式、范围,但未逐一列出使用的第三方SDK收集使用个人信息的目的、方式、范围。
3.5   客户端未提供有效的更正、删除个人信息及注销用户账号功能或渠道
问题等级:一般
标准条目:[App违法违规收集使用个人信息行为认定方法] 未提供有效的更正、删除个人信息及注销用户账号功能
问题描述:客户端中提供了用户信息更正功能,但未提供删除及注销用户账户相关的一些功能或渠道。
3.6   隐私政策不易访问
问题等级:一般
标准条目:[App违法违规收集使用个人信息行为认定方法]隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到
问题描述:客户端隐私政策收集规则难以访问,只在初次安装打开时会弹框显示隐私协议,进入APP后无法访问隐私政策。
3.8   未向用户提供撤回同意收集个人信息的途径、方式
问题等级:一般
标准条目:[App违法违规收集使用个人信息行为认定方法]未向用户提供撤回同意收集个人信息的途径、方式
问题描述:客户端隐私政策中未向用户提供撤回同意收集个人信息的方式或渠道。

参考文献
[1]移动金融客户端应用软件安全管理规范
[2]App违法违规收集使用个人信息行为认定方法
[3]条码支付移动客户端软件检测规范

(0)

相关推荐