網絡借貸的風險不僅來自于運營者跑路，相關APP的信息技術風險、信息安全風險似乎更大。

　　最新公布的《2015-2016移動互聯網金融APP信息安全現狀白皮書》(下稱“白皮書”)稱，目前網貸APP整體安全性并不高，每個APP都存在不同程度的信息安全問題，70%的APP中的用戶信息可以被黑客監聽和篡改。

　　這份白皮書由中國信息通信研究院信息產業通信軟件評測中心、移動互聯網系統與應用安全國家工程實驗室和上海掌御信息科技有限公司等3家單位完成檢測，上海微令信息科技有限公司校園司令參與，上海淳粹文化傳媒有限公司聯合撰寫。

　　報告研究對象是安卓平臺上88款最流行的移動金融APP，這88家也是網絡借貸第三方分析研究機構網貸之家2015年評比的發展指數排名前列者。按照網貸之家的數據，盡管互聯網金融大整治清理了一批，現存的P2P企業仍有2000家。而大部分在信息技術、信息安全上似乎并不是太專業。

　　測評結果顯示，互聯網金融普遍存在加密算法的誤用、網絡傳輸保護不足、應用程序缺乏保護措施、本地文件及系統日志敏感信息泄漏等幾個方面的問題。嚴重之處在于，個別APP還存在組件暴露漏洞、可數據備份漏洞、Webview遠程執行漏洞、拒絕服務攻擊漏洞、網絡接口攻擊漏洞等等其他安全問題。

　　該報告還列出了移動互聯網金融APP信息安全的十大風險，其中危害最大的是，15%的互聯網金融APP與服務器端交互的數據通過明文的通信信道傳輸，這可以導致用戶進行的金融交易信息、密碼口令等秘密數據完全暴露在攻擊者面前。黑客不僅可以監聽用戶進行的所有交易信息，還可以篡改交易內容甚至冒充用戶登錄進行交易。

　　此外，報告列舉的風險還包括通訊數據可解密、敏感數據本地可破解、調試信息泄露、敏感信息泄露、密碼學誤用、功能泄露、可二次打包、可調試、代碼可逆向等風險。其中，“可調試”指的是客戶端APP能夠被調試，動態的提取、修改運行時的程序數據和邏輯;“代碼可逆向”指的是客戶端APP的邏輯能夠被輕易獲取和逆向，得到代碼和程序中的敏感數據。以上兩項的風險范圍最高，達到了70%，分別可能導致用戶信息被監聽篡改，以及APP被攻擊和仿冒。

　　這份報告還給出了一份“白名單”，也就是安全性最高的10個互聯網金融APP，包括開鑫貸、大麥理財、九信金融、PP理財、愛投資等，而大家耳熟能詳的陸金所、人人貸、積木盒子等公司并不在其列。

　　對此結果，報告撰稿人之一、上海掌御信息科技有限公司CTO李卷孺表示，APP的安全性跟企業規模并不成正比，白名單只是通過檢測發現上述幾家的安全系數更高，明顯是找了專業技術人員多次調試。

　　李卷孺稱，其實很多網貸APP的漏洞對于專業人員來說還是顯而易見的，因此需要呼吁業界在聘用軟件工程師時側重信息安全方面的考量。由于擔心引發黑客對漏洞明顯的互聯網金融APP進行攻擊，他們并沒有對外公開這些公司的名稱，但具體的測評報告是對受測公司公開的。

　　此外，對于網貸APP是不是比傳統金融機構APP的安全性更低，李卷孺并不這么認為：“具體情況具體分析，有些傳統金融APP也很容易受攻擊，有些金融機構的網站安全性高，但是手機客戶端沒有認真做好這一點。”

　　安卓系統上這些APP不安全，那蘋果系統呢?

　　李卷孺認為，安卓手機的應用市場太龐雜，且下載太容易：“有時候發個短信、上個網頁就能下載，門檻比較低，惡意軟件頻頻出現。”但蘋果也不完全省心，“雖然蘋果為了信息安全，至今沒有開放通話記錄這個功能，但是蘋果手機上的大型應用可以直接傳輸通訊錄，只能說蘋果和安卓手機的風險各有不同。”