新研究揭示非洲移动金融科技应用存在的安全风险

根据Approov的研究人员发现，加密、身份验证和签名密钥在非洲广泛使用的移动金融科技应用中经常暴露出来。该研究聚焦于按收入和下载量排名前十的应用程序，其中包括提供贷款、移动银行、P2P货币转移、投资和加密货币等一系列服务的金融科技应用。研究发现，加密货币应用最容易受到攻击，33.3%的应用被评为高风险，53.3%的应用被评为中风险。

高风险类别包括私钥、支付或转移服务的密钥，以及“身份验证”或“认证”密钥。如果被曝光，这些密钥可能导致未经授权的访问、数据泄露和用户隐私受损。中风险类别包括敏感数据，如果被曝光，可能危及用户数据和应用功能。尽管存在风险，研究发现，在所有应用程序类别中，安全方面的忽视现象普遍存在。

在安全评级方面，个人财务应用排名第二差，22.2%的应用被评为高风险，66.7%的应用被评为中风险。紧随其后的是支付和转账应用，19.1%的应用被评为高风险，76.6%的应用被评为中风险。在总计224个应用程序的检测中，只有5.4%的应用没有暴露任何细节。

该研究涉及收集每个应用程序的标识，并对应用程序进行反向工程以扫描风险项。加密API密钥、私钥和密码对于身份验证和数据安全至关重要。特别是暴露与Google和AWS等服务相关的API密钥，可能导致未经授权的使用、意外的费用或集成功能的中断。

研究人员建议应用程序开发人员将这些密钥移出应用程序，转移到云端以提高安全性。这些秘密信息对于验证应用程序的身份以及防止未经授权的访问、篡改或数据泄露至关重要。无意中将这些秘密密钥发布到GitHub等公共存储库中，存在重大风险。

随着金融服务在全球范围内的数字化和通过移动平台的可访问性增加，机密信息的曝光变得更加令人担忧。开发人员必须将端到端的安全性置于应用程序本身的优先位置，而不仅仅依赖于官方应用商店或原生客户端操作系统的安全性。

来源：
– [Approov研究报告](source article)
– [CyLab-Africa](source article)