Approov 揭示非洲流行银行应用程序缺乏端到端安全性

大约 95% 最受欢迎的非洲银行和金融服务应用程序都包含易于提取的秘密，这些秘密可用于脚本和机器人来攻击应用程序编程接口 (API) 并窃取数据，从而对消费者及其信任的机构造成破坏； 根据端到端移动安全提供商 Approov 的一份新报告。

Approov 研究调查了非洲金融 Android 应用程序二进制包中不安全秘密的普遍程度，突出了趋势和差异。

报告中调查的应用程序中，总共有 18% 泄露了高度严重的秘密。 高严重性分类用于可能导致未经授权的访问、数据泄露和用户隐私受损的漏洞。

这些应用程序在非洲大陆的总下载量为 2.72 亿次，其中 72% 的应用程序泄露了包含敏感数据的中等严重程度的秘密。 如果暴露，它们可能会损害用户数据和应用程序功能的机密性。

加密货币成为暴露程度最高的应用程序类型，33% 的加密货币应用程序被发现暴露了这些“高严重性”秘密。

与此同时，就高严重性秘密曝光而言，部署在西非的应用程序暴露得最严重。 最不值得夸耀的地区是南部非洲：西非开发的应用程序中有 20% 暴露了此类秘密，而南部非洲的应用程序中只有 6% 暴露了此类秘密。

“开发人员必须确保应用程序本身内置端到端安全性”

虽然开发人员可能会使用密钥管理系统，但许多敏感密钥最终仍会出现在 Android 应用程序包 (APK) 中。 这些密钥包括加密货币、身份验证和签名密钥，以及数据库凭据、OAuth 密钥和推送通知密钥。

在 86% 的受检查应用程序中发现了 Google Cloud API 密钥。 这种暴露可能会直接导致帐户被盗。 大约 15.3% 的应用程序还暴露了各种身份验证令牌，包括 Facebook 身份验证令牌。

Approov 首席执行官 Ted Miracco 解释了非洲开发者方面增强安全性的必要性：“这项研究清楚地表明，随着金融服务变得更加数字化并且可以通过世界各地的移动平台获取，与机密信息泄露相关的潜在风险信息已经升级。

“开发人员不能再依赖‘官方’应用程序商店或本机客户端操作系统安全性，必须确保应用程序本身内置端到端安全性。”

卡耐基梅隆大学非洲分校副教授、CyLab-Africa 和 Upanzi 网络联合主任 Assane Gueye 也讨论了优先考虑该地区安全的必要性：“为了改善非洲的金融包容性，需要做出重大改进致力于提高整个非洲大陆金融技术和基础设施的安全性和弹性。

“像这样的全面调查可以帮助我们更好地了解存在的漏洞，以便为政策制定者、开发人员和安全专业人员提供信息。”