2015~2016移动互联网金融APP信息安全现状白皮书上

8月19日，《移动互联网金融APP信息安全现状白皮书》（网贷篇）（以下简称《白皮书》）在上海正式发布，该报告由中国信息通信研究院信息产业通信软件评测中心、移动互联网系统与应用安全国家工程实验室和上海掌御信息科技有限公司等3家单位完成检测，上海淳粹文化传媒有限公司联合撰写并独家发布。 近年来，移动互联网消费金融市场蓬勃发展，移动互联网不仅改变了用户的网络浏览习惯，也影响着用户对互联网金融产品和服务的获取手段。在移动平台逐渐取代传统计算机成为新的互联网接入入口的趋势下，移动互联网的信息安全问题尤其是金融类APP的信息安全问题变得日益突出。本期我们就来着重介绍一下十大安全移动互联网金融APP，看看三大检测机构是如何检测和评价它们的安全性的。 （以下内容选自《白皮书》，文后将附上本次移动互联网金融APP信息安全检测名单。本次测试，仅针对Android系统） 《白皮书》关键字 APP：这里是指Android系统中运行的手机软件。 移动互联网金融：移动互联网金融是传统金融行业与移动互联网相结合的新兴领域。包括以智能手机等移动设备为媒介的金融相关服务，例如第三方支付，理财等电子金融服务。 静态检测：在不运行软件的情况下，利用JEB，APKTOOL等工具对手机软件的源代码或二进制代码进行语法语义的理解，从而进行安全性分析。 动态检测：通过实际运行软件，记录运行相关信息，收集运行结果，来测试手机软件的安全性。 漏洞：手机软件的代码或协议等方面的具体实现存在安全性的缺陷，而这些缺陷可能导致攻击者在未授权的情况下访问软件或系统的敏感数据，或破坏软件及系统。 风险：手机软件的代码或协议等方面的具体实现存在安全性的不足，这些不足会大大增加软件本身或系统被攻击的可能。 ADB：Android Debug Bridge，一种Android的调试工具，可以连接Android设备和PC端。 Webview：Android sdk自带的功能性组件，用来加载一个网页。 Webview漏洞：由于Webview对其加载的JS代码校验不足，导致某些加载的恶意JS代码可以利用软件本身的权限来执行恶意行为。 组件：Android应用程序由一些零散的有联系的组件组成，通过一个工程manifest绑定在一起。组件包括activity，service，receiver，provider等。 组件暴露：在非开发人员有意的前提下，APP的组件接口可以被其他APP非法调用，可能会导致APP敏感数据泄漏，功能泄漏，数据污染等安全问题。 密码学误用：由于开发人员对密码学相关知识的匮乏，错误的使用了安全性不足的加密算法或将密码，IV等信息硬编码在了代码中，使得加密失去了保护数据的效果。 加壳：APP对代码自我保护的方法。将原有的代码加密保存，当APP首先运行“壳”程序，再释放并解密保护的代码。加壳可以有效防止攻击者对代码的静态分析。 混淆：APP对代码中出现的类名，变量名，方法名进行替换，将原来有实际意义的名称替换为无意义的名称，来隐藏原代码中各类名称透露的信息，大大增加了攻击者对代码的静态分析的难度。 风险范围：在本次检测过程中，所提及的安全风险影响的全体APP的比例。 哈希值：APP可执行文件的数字指纹，可用于唯一确定一个APP身份。 一、检测标准 1. 本地数据安全 对于客户端应用程序而言，不可避免地需要在本地存储一些数据。而对于本地数据，我们认为需要有以下安全标准： a) 敏感数据不能存放在外部存储器卡上，无论是否加密。因为外部存储器是任何应用程序都能够读写访问的，并不受系统的隔离机制，因此对于敏感的数据，应该存放在系统为每个应用程序分配的私有目录下。相比于外部存储器，该私有目录对每个应用程序隔离，只有敏感数据所属的应用程序自己可以访问，这样可以利用系统自带的沙盒隔离机制保护本地数据安全。 b) 私有目录数据正确设置权限。即使应用程序数据存储在本地，也不意味着其他的应用程序无法访问。应用程序需要对本地的数据正确设置读写执行权限，才能有效保护数据安全。对于只有应用程序自身需要访问的数据，只应对该应用程序自身开放读写权限，而将对其他应用的读写执行权限关闭。 c) 敏感数据不能以明文存储在私有目录。敏感数据尽量不存储在本地，即便是出于效率或业务等原因不得已而为之，也必须将敏感数据存储于私有目录下。即便是在正确设置了权限的前提下，也应该以高强度的加密算法加密并有效保护密钥的方式存储。存储在在私有目录的数据依然可能被高权限的程序读取（如：root权限），此时只有加强对数据本身的加密保护才能提高攻击者破解的难度和门槛。 2. 数据传输方法和实现 移动互联网金融应用程序与服务器的通信数据通常包含了诸多重要数据，例如密码，隐私数据，交易信息等等，数据传输方法和实现如果不安全，则会造成严重的后果，使攻击者具有在中间信道对数据进行窃取，篡改的能力。对于通信数据的安全，我们认为应有以下标准： a) 不能使用HTTP明文进行数据通信。HTTP是明文的消息传输协议，面临一系列的安全隐患，容易被攻击者窃听，篡改，劫持等。如果应用程序使用HTTP进行明文数据通信，则与服务器通信的敏感数据将失去安全保证。 b) 使用HTTPS则需要验证证书以及绑定证书。如果应用程序使用加密协议HTTPS与服务器通信，也并不意味着通信一定安全。HTTPS协议需要客户端应用程序通过验证证书或者在客户端绑定证书的方式，来验证服务器的身份。否则，攻击者可以进行中间人攻击，通过替换证书的方式来解密流量，达到窃听、篡改通信数据的效果。 c) 若使用自定义协议，则需要有完善的密钥交换协议。如果应用程序使用自定义的通讯协议与服务器通信，则为了保护通信数据的安全，该协议需要有完善的密钥交换和高强度的加密算法来保证协议的安全。否则，攻击者依然可以通过协议的逆向分析找到破解协议的方式，从而达到窃听和篡改数据的目的。 3. 服务器安全 移动应用程序对应的服务器安全也是移动互联网APP信息安全中的重要一环。客户端通过对服务器的请求可以得到服务器的反馈信息，如果服务器出现安全隐患，则可能导致服务器的关键数据被窃取，甚至出现服务器被控制的严重危害。 我们认为，服务器通过与客户端的通信接口，应当能够抵御常见的安全威胁，如SQL注入，XSS，任意文件读取、下载，任意代码执行等。 4. 多方交易安全 越来越多的移动互联网金融APP需要使用多方交易模型来完善业务，例如APP内的移动支付。多方交易由于涉及到的角色多（用户、商户、支付提供商等），因此可能面临的攻击面更广（可攻击用户、商户、服务提供商），攻击者可扮演的角色也更多（恶意用户、恶意商户），多方互相之间的认证、授权、明确的责任分配等，任何一个环节的出错都会导致整个多方交易安全性的破坏。对于多方交易安全，我们认为需要有以下安全标准： a) 客户端信息泄漏。多方交易模型中，客户端软件面临着可能被逆向分析的风险，因此一些用于验证身份的重要信息（例如token、key等）的泄漏可能让攻击者伪造一个合法身份参与到交易模型中。此外，客户端如果代替服务器端发起敏感行为（例如生成订单），则也可能遭到攻击者的破坏。 b) 身份验证机制的缺失。多方交易过程中，各方对于自己收到和发出的消息，都需要进行身份验证，并有效地标识自身的身份。一旦身份验证机制出现不完整或者缺失，攻击者就可以利用该漏洞，冒充消息发送者，并让接收者无法察觉消息的篡改或伪造。 c) 不完整的信息提示。多方交易模型中，用户也可能遭到攻击。交易过程中，重要信息完整清晰地展示给用户，保证用户的安全，是多方交易模型中其他角色（商户、支付提供商）的责任。否则，用户的权益会受到侵害，用户将面临钓鱼、诱导欺诈等攻击。 5. 代码保护 客户端代码中通常包含有与业务密切相关程序的重要逻辑、敏感数据以及与服务器交互的接口等，保护好这些代码，不让攻击者轻易获取和分析，可以大大提高攻击者的攻击门槛和难度，从各个方面减少攻击的可能性，从而提高系统的安全性。我们认为对客户端代码的保护，有如下安全标准： a) 完整性检查。移动应用程序容易被二次打包，从而面临盗版、欺诈用户、程序执行流程被篡改等方面的风险。应用程序应具备对自身代码完整性校验的能力，防止攻击者轻易地对程序进行篡改。 b) 防逆向分析。应用程序的代码可以通过逆向工具获取，攻击者通过阅读逆向代码可以获取程序的执行逻辑。为了加大攻击者分析的难度，提高攻击者破解程序的门槛，应用程序应当使用混淆、加壳等保护手段，来防止程序代码被攻击者轻易地分析。 c) 防进程注入。进程注入能够动态地了解程序运行信息，从而动态修改程序逻辑，获取程序的机密信息。应用程序需要具备防止其他程序轻易进行进程注入的能力，提高攻击者注入的成本，从而保护自身的数据和逻辑不被窃取。 二、检测方法 1. APP的下载和锁定 本报告所检测的样本，取自2016年4月21日前官方发布的Android应用。在测试期间，个别应用存在强制更新的情况，我们则同步更新相应的Android应用并以官方所推送的版本作为检测样本。对于每个测试的样本，我们均以SHA-1哈希值作为区分样本、锁定样本的依据，同时标注对应的版本号。至检测工作完成，报告发布之日起，由于应用可能存在新的版本，故可能与检测期间中锁定的应用所报告的问题有所出入。 2. 静态检测 本报告所使用的Android应用程序静态分析技术基于开源Android应用程序反汇编引擎实现，在常规的反汇编结果基础上，引出一系列接口，可有效提取静态反汇编结果，以便于在反汇编结果之上进行高层的语义分析，达到静态检测应用程序安全性的目的。静态检测技术的特点在于快速、兼容性强、自动化程度高、便于扩展，只需实现针对一类安全问题，制定静态安全检测的规则和策略，静态检测系统就能够自动地输出检测结果。 静态检测系统分为两部分，底层为反汇编引擎，上层为分析工具。底层的反汇编引擎支持对Android应用程序的解包、资源解码、反汇编dex可执行文件、打包、签名等功能。同时将资源文件以及可执行代码的解码和反汇编结果存储在分析结构体中，并引出一系列接口，便于上层的分析工具进行二次开发和调用。反汇编引擎支持对资源文件解码的接口包括直接获得应用程序的基本信息以及应用程序组件及其属性、权限使用、证书信息、附件文件类型等。对可执行文件的反汇编支持获得应用程序自定义的类及类的基本属性，方法及方法的基本属性，方法内部的反汇编指令。基于底层返回引擎的接口，编写不同的分析工具满足不同的应用程序安全性分析需求。 本次报告中，静态检测技术主要被用于检测组件暴露、密码学误用以及webview组件漏洞等问题。 3. 动态检测 本报告所使用的Android应用程序动态分析技术主要基于自主开发动态检测系统InDroid实现，该系统的最大特点在于，它作为一个具有安全分析功能虚拟机核心引擎InDroid VM，能够取代Android移动智能终端系统中原有的Dalvik VM引擎，无缝链接到现有的Android系统中去，形成一个拥有动态应用程序分析能力的Android系统。同时我们的InDroid能够部署在真实的Android设备上，可以有效地规避应用程序对常规动态分析系统的检测。 InDroid包含了两部分，前端是程序执行和插桩监视引擎，能够在正常执行应用程序的同时，以很小的代价记录执行过程和中间数据，并将其变换为数据流、指令流和控制流等易于程序分析的形式，对其进行在线或离线分析。后端是恶意行为分析引擎，引擎本身具备信息提取、算法识别等功能，能够对前端输出的数据进行分析判断，给出恶意行为分析结果，另外还提供了可扩展的接口进行规则定义，能够不断提高分析的精确性。 本次报告中，我们主要使用InDroid系统来进行文件存储安全分析、流量分析（辅以Burpsuite）等较为复杂的安全分析操作。 4. 深度检测 本次报告中，对于部分较为有影响力、用户数较多的APP，在自动化安全检测的基础上，我们投入了行业内顶尖的Android应用程序分析人员对其进行更为详细的深度人工检测。并对自动化检测中发现的每一个问题进行了模拟攻击实验，了解漏洞在不同环境下可能带来的危害，同时我们也对漏洞的成因进行了人工分析，我们期待能够和厂商一起对相应的漏洞进行必要的修补。 5. 危害性重现 在进行本次报告的APP安全测试过程中，我们充分考虑了APP的使用场景，考虑到不同的环境会给APP带来不同程度的安全要求。在常规的安全检测外，我们深入的分析了APP在以下环境下的安全性： a) APP所处的Android系统版本较为陈旧； b) APP运行于可被root的Android设备上； c) APP运行于不安全的（公共）WiFi环境下。 6. 评分 在完成对APP的各项安全检测后，我们汇总通过不同方法所发现的APP安全漏洞。通过人为的评估和反复论证，我们为每一个安全漏洞赋予一个安全危害分数。通过计算一个APP内所包含的安全漏洞的安全危害分数，我们对每一个被检测的APP进行了评分，该评分能够较为客观地反映该APP的信息安全水平。 7. 报告 本报告集中分析了国内大部分移动互联网金融APP的代码和业务逻辑的安全性，对其中存在的典型问题和风险进行了评估，并对其中存在的高风险进行预警。本报告站在客观、科学、权威的立场，为国内移动互联网金融APP信息安全提供参考。 (1) 客观性 本白皮书致力于推进移动互联网金融APP安全性相关测评与审查关键技术的研究，建立移动互联网金融APP测试标准体系。以往通过各类安全厂商提供APP安全检测均是按照各自的测试方法进行，而我们的测试综合了所有目前主流的安全测试需求，制定了一个统一的安全测试标准规范，具体地通过对移动互联网金融APP安全评估及测试关键技术的研究，提出了静态分析和动态分析相结合的安全测试手段，建立了一套以客观量化的测试数据和具体质量指标为依据的测试流程，详细描述了被测试对象的各种安全风险问题。 (2) 科学性 金融APP作为移动互联网金融服务的核心载体之一，其安全性评估尤为重要。然而，目前国内并没有相关的标准能够指导金融APP的设计、研发和测试。为了解决这一问题，我们的测试根据金融APP面临的风险特点，通过安装与运行被测试对象，结合专业的测试工具和应用程序安全分析工具，对金融APP的安全性进行规范和评估，具体策略可包括： a) 验证APP是否对敏感信息、算法、协议进行了有效保护； b) 验证APP是否能够对使用的机密数据进行安全加密存储和安全解密使用； c) 验证APP是否能够对和服务器进行数据交互的过程进行安全的传输； d) 验证为APP提供服务的接口是否存在安全风险； e) 验证多方交互（如APP、APP服务提供商、网络银行）的安全性。 (3) 权威性 本检测报告的权威性主要体现在以下几个方面： a) 检测机构的专业性 信息产业通信软件测评中心是经中国合格评定国家认可委员会（CNAS）实验室认可和中国国家认证认可监督管理委员会资质认定的第三方实验室，严格遵照各项实验室认可准则开展检测工作。 中国信息通信研究院安全研究所作为国家主管部门的技术支撑单位和直属科研机构，拥有雄厚的网络信息安全技术评估评测能力以及高端的专业网络信息安全支撑团队，出色地完成了历年来国家、政府委托的移动互联网应用安全监管支撑工作，承担了大量重大网络信息安全专项科研课题，牵头制定了移动互联网应用安全相关标准规范。 移动互联网系统与应用安全国家工程实验室于2015年底，初步建成“移动互联网系统与业务安全研发”、“端到端的安全测评和仿真试验”以及“移动互联网安全技术应用示范”三个平台，并围绕新技术安全检测与监测、反电子欺诈、大数据驱动的威胁情报分析三类重点应用场景，整合科研成果进行应用转化。其中新技术安全检测与监测领域科研成果已形成CCSA行业标准，在中国电信内部开展成果应用，同时在上海市政府科研项目支持下，在大网上进行移动应用恶意代码检测与审计的规模化部署和应用；在反电子欺诈领域，实验室正在加紧开展反电子欺诈能力平台的建设，覆盖电话、短信、应用、URL等维度的骚扰和诈骗识别与拦截，拟代表中国电信和通信行业，积极承担社会责任，致力于解决社会广泛关心的电子欺诈泛滥问题；在大数据驱动的威胁情报分析领域，实验室在支撑有关部门的网络安全审查和反窃密工作中，取得了一些成绩，连续两年受到上海市政府的认可和感谢，目前实验室正在重点突破威胁主动感知和溯源领域的机器学习等核心技术研究与开发。 实验室现有教授4名、副教授6名、CISSP 5名、CISP 10名、RHCA 1名。实验室还聘请了两位客座专家——CCSA无线通信安全组副组长胡志远博士，国际知名白帽子安全组织0x557核心研究员屈波。 截至2015年底，实验室在专业上已获得专利授权12项，发表SCI论文19篇，EI论文12篇，STP论文6篇，获得软件著作权2项，发现CVE漏洞2个，CNVD漏洞9个。 上海掌御信息科技有限公司于2013年成立，经过长时间的积累，逐渐培养了一支在移动智能安全方面具有相当实力的研究和开发队伍，为多家知名IT企业提供移动智能安全测试和加固服务。在智能手机的底层驱动开发、内核应用的反编译、用户应用的开发、基带通信模块研究、系统数据接口开发、敏感数据保护等各个方面有着深入而广泛的研究，在诸多重大项目中起到了核心技术提供者的角色，并参与制订了多个移动安全相关的国家标准。公司目前专注于移动支付安全领域的安全测试和安全防御方案研发。 b) 检测技术的先进性 我们通过以下步骤来保证测试技术的先进性 通过研究当前主流的金融APP的现状，进行调研分析，总结现有主流移动金融APP的特点、开发语言、厂商信息、支撑平台、硬件需求、应用情况、版本更新、已知安全漏洞等内容，分析并提炼移动互联网金融APP的信息安全评估需求； 基于金融APP的安全评估测试需求分析，确立安全性衡量指标，主要考虑代码安全、数据存储安全、数据传输安全、网络服务接口安全和多方交互流程安全五大方面； 使用当前最先进的移动应用安全测试技术和工具，搭建一套测试环境平台，在上述安全测试方面开展移动互联网金融APP安全测试。 c) 检测的全面性 本次检测旨在建立移动互联网金融APP安全测评的方法和标准，通过分析移动智能终端应用软件的使用特点以及使用过程中可能存在的一些安全性隐患，并针对这些隐患提出针对性的标准及测试方法，进行全面测试。同传统的安全测试相比，我们提出了基于代码安全、数据存储安全、数据传输安全、网络服务接口安全和多方交互流程安全这五大安全测试内容的新一代测试标准，并对市场上最为流行的100家移动互联网金融提供商相关的APP进行了全面的安全性评估。是目前覆盖最广，测试内容最复杂的金融类APP安全分析。 三、评分综述 为了检验移动互联网金融类APP的安全现状，本次报告针对当前Android平台上88款最流行的移动金融APP客户端软件进行了一次全面的安全性测评。从测试结果可以看出，目前互联网金融类APP的整体信息安全性并不高，每个APP都存在不同程度的信息安全问题。其中普遍存在的问题集中在加密算法的误用、网络传输保护不足、应用程序缺乏保护措施、本地文件及系统日志敏感信息泄漏等几个方面。除此之外，个别APP还存在组件暴露漏洞、可数据备份漏洞、Webview远程执行漏洞、拒绝服务攻击漏洞、网络接口攻击漏洞等等其他安全问题。由此可见，移动互联网金融APP的安全性严重不足，急需增强安全保护措施。 评分维度（根据如下结果维度来评分）： a) 数据传输安全性； b) 数据存储安全性； c) 密码算法与协议安全性； d) APP代码保护强度； e) 敏感数据保护水平。 具体分值：根据评分维度综合得出。 说明：各项评分越低，代表安全性越不足。最高100分，最低10分。 四、十大安全移动互联网金融APP 1. 开鑫贷 包名：com.gkkx5 版本：v2.1.1 评分： 点评： 该APP安全性较好。网络通信采用HTTPS协议，同时会在本地校验证书，保证了网络通信的数据安全。APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。 2. 大麦理财 包名：com.dmlc.app.android 版本：v1.6.0 评分： 点评： 该APP安全性较好。网络通信采用HTTPS协议，同时会在本地校验证书，保证了网络通信的数据安全。APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。 3. 九信金融 包名：com.jxjr.app.android 版本：v1.1.0 评分： 点评： 该APP安全性较好。网络通信采用HTTPS协议，同时会在本地校验证书，保证了网络通信的数据安全。APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。 4. 铜掌柜理财 包名：com.tongmi.tzg 版本：v3.7.01 评分： 点评： 该APP安全性较好。网络通信采用HTTPS协议，同时会在本地校验证书，保证了网络通信的数据安全。APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。 5. 邦帮堂 包名：com.rmbbox.bbt 版本：v5.0.3 评分： 点评： 该APP安全性较好。网络通信采用HTTPS协议，同时会在本地校验证书，保证了网络通信的数据安全。APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。 6. PP理财 包名：com.pmp.ppmoney 版本：v5.1.4 评分： 点评： 该APP不存在严重的安全漏洞。网络通信采用HTTPS协议，APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。但APP没有在本地校验证书，存在替换证书进行中间人攻击的可能。 7. 合时代金融 包名：cn.heshidai.app 版本：v2.7 评分： 点评： 该APP不存在严重的安全漏洞。网络通信采用HTTPS协议，APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。但APP没有在本地校验证书，存在替换证书进行中间人攻击的可能。 8. 新联理财 包名：com.xinlian.newunion 版本：v1.4.9 评分： 点评： 该APP不存在严重的安全漏洞。网络通信采用HTTPS协议，APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。但APP没有在本地校验证书，存在替换证书进行中间人攻击的可能。 9. 爱投资 包名：com.antourong.itouzi 版本：v1.5.6 评分： 点评： 该APP不存在严重的安全漏洞。网络通信采用HTTPS协议，APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。但APP没有在本地校验证书，存在替换证书进行中间人攻击的可能。 10. 小赢理财 包名：com.yingzt.invest 版本：v3.0.1 评分： 点评： 该APP不存在严重的安全漏洞。网络通信采用自定义通讯协议，且对数据保护较好，APP的代码经过加壳保护，一定程度提高了代码的安全性，避免被轻易地静态分析。APP关闭了系统日志，本地文件权限设置正确且不包含敏感数据。但APP没有在本地校验证书，存在替换证书进行中间人攻击的可能。 关于检测对象的选择 此次检测对象的选择是基于移动互联网金融平台权威网站“网贷之家”（http://www.wdzj.com/）根据其自有参数“发展指数”在其“评级”板块之中对各移动互联网金融APP的排名及相关数据的呈现。 “网贷之家”的“评级”页面 我们对“网贷之家”网站“评级”（http://www.wdzj.com/pingji.html）栏目下2015年我国移动互联网金融APP全年运营数据的统计中各月“发展指数”排名近100位的数据进行逐月采集，并进行算数平均、全年综合排名（“发展指数”由高到低），得出年度近100位作为此次互联网金融APP金融信息安全现状检测的最终样本库。 全年数据采集整理（示例） 附录： 本次移动互联网金融APP信息安全检测名单 本《白皮书》的详细版本包含了对如下金融APP的完整的信息安全分析内容，如需阅读请联系此次的发布单位（上海淳粹文化传媒有限公司），咨询电话：400-1818-529，邮箱：[email protected]。 序号 应用名称 包名 1 陆金所 com.lufax.android 2 拍拍贷 com.ppdai.lender 3 人人贷 com.renrendai.finance 4 微贷网 com.renrun.aphone.app 5 宜人贷 com.yirendai 6 团贷网 com.junte

7 鑫合汇 com.yrz.atourong 8 银客网 com.yinker.android 9 XinRong Credit com.xinrong 10 银湖网 com.yinhu.app 11 和信贷 com.hexindai.hxd 12 翼龙贷 com.eloancn.mclient 13 PP理财 com.pmp.ppmoney 14 你我贷 com.chinaideal.bkclient.tabmain 15 红岭创投 com.my089 16 积木盒子 com.lr.jimubox 17 开鑫贷 com.gkkxd 18 投哪网 cn.touna.touna 19 有利网 com.yooli 20 生菜金融 com.shengcaijinrong.hybird 21 合拍在线 com.usky.hponline 22 人人聚财 com.rrjc.activity 23 珠宝贷 com.jewelcredit 24 温商贷理财 com.wsloan 25 爱钱进 com.iqianjin.client 26 金开贷 com.bmsoft.kingkaid 27 网利宝 com.wljr.wanglibao 28 小牛在线 com.xiaoniu.finance 29 永利宝 com.yonglibao.android 30 向上金服 com.xiangshang.xiangshang 31 国诚金融 com.shangpuyun.gcjr 32 新新贷 com.xinxindai.fiance 33 德众金融 io.dcloud.H58A3A0F6 34 贷贷兴隆 com.ddxl.app.view 35 91旺财 com.xzck.wallet 36 礼德财富 com.leadercf.AndroidAPP 37 汇通易贷 caffp2p.android 38 众信金融 com.jxtuan.zhongxin 39 合盘贷 com.hpd 40 e速贷 com.esudai.esd 41 抱财 com.baocai.p2p 42 金控网贷 com.gzjkp2p 43 恒信易贷 com.p2phx.ui 44 财加 com.defineapp.subangloan 45 万盈金融 com.wyjr.jinrong 46 阿朋贷 com.apengdai.app 47 麻贷 com.tengniu.p2p.tnp2p 48 小赢理财 com.yingzt.invest 49 友金所 com.yyfax.app 50 中瑞财富 com.zrcaifu 51 东方金钰 Com.dfjy 52 金信宝 com.jinxin.android 53 银票网 com.yp.yprich 54 大麦理财 com.dmlc.app.android 55 短融网 com.duanrong.app 56 口贷网 com.shouhulife.ui 57 理财范 com.wltx.licaifan 58 温州贷 com.wenzhoudai.view 59 365 易贷 com.eloan.invest 60 合力贷 cn.helloan.app 61 合时代金融 cn.heshidai.app 62 新联理财 com.xinlian.newunion 63 安心贷 com.junanxinnew.anxindainew 64 汇盈金服 com.huiyingdai.apptest 65 惠众金融 com.hzjr 66 粤商贷 com.yesvion.yueshangdai 67 爱投资 com.antourong.itouzi 68 金宝保 com.jbb.android.mobile 69 金联储 com.jinlianchu.app 70 金融工场 com.eten.myriches 71 理想宝 com.zfl.webapp.view 72 诺诺镑客 com.nonoapp 73 银豆网 com.yindou.app 74 博金贷 com.kd.bjd 75 黄河金融 com.quanmai.hhedai 76 金银猫 cn.com.jinyinmao.app 77 立业贷 com.liyedai.sp2p 78 链家理财 com.homelinkLicai.activity 79 点融网理财 dianrong.com 80 京东金融 com.jd.jrapp 81 民贷天下理财 com.mdcn.mdonline 82 鹏金所 com.penging 83 小油菜 com.xiaoyoucai 84 邦帮堂 com.rmbbox.bbt 85 九信金融 com.jxjr.app.android 86 钱吧金融 com.bm.qianba 87 融贝网理财 com.rongbei 88 铜掌柜理财 com.tongmi.tzg 注：以上排名不分先后。 以上，就是本期《白皮书》专题的全部内容了，三大检测机构根据检测标准所做出的评分和点评，不知各位是怎么想的呢？欢迎大家不吝将你们的看法告知我们，让我们一起为营造和谐安全的互联网金融环境，作出贡献！ 本次发布会的《白皮书》主要内容相关文章分两期来重点讲述，下期内容我们将介绍与本期息息相关的移动互联网金融APP信息安全的十大风险，以及这类潜在风险的解决办法，敬请关注！ 声明： 本文为原创，如欲转载或商务合作，您须事先在该订阅号留言，或联系QQ：2675983469，或发送邮件至[email protected]，说明您的媒体、您欲转载的文章题目及转载缘由，在取得我们的正式许可后方可转载，并在转载时满足以下要求： 1、注明“作者”为“淳粹传媒”； 2、注明“该文章始发于微信订阅号‘数知媒’”； 3、“阅读原文”指向微信订阅号“数知媒“始发该文的相应页面； 4、经转载的原文内容不得修改、遗漏、省略（包括正文及文末彩蛋、作者介绍等所有内容）。 否则视为侵权，我们将行使追究侵权方相应责任的权力，特此声明！ 责任编辑：