慎选理财APP开放权限 黑客利用漏洞半天提现千万

近日，上海警方侦破了一起特大网络盗窃系列案。据了解，犯罪嫌疑人利用理财软件漏洞，非法篡改用户账户充值金额，半天内提现金额超千万元。截至目前，上海徐汇警方已在上海、安徽、江苏等多地先后抓获近百名犯罪嫌疑人，其中74人已被检察机关批捕。

某理财类软件惨遭黑客攻击，半天损失达1056万元

2017年2月底，上海某金融信息服务有限公司旗下的一款手机理财软件，其漏洞被黑客所利用，在半天时间千万元人民币被洗劫一空。

公司察觉后立即向警方报案。上海徐汇警方受理案件后马上成立专案组，并及时对该手机理财软件漏洞进行封堵，避免造成更大损失。经调查发现，不法分子利用该手机理财软件漏洞，使用黑客攻击手段，非法篡改软件充值金额，并迅速进行提现，实施网络盗窃。

图一：犯罪嫌疑人赵某阐述作案手法

一些不法分子“尝到甜头”后，还将该理财软件漏洞大范围传播，众多黑客闻讯而至。据悉，仅在半天时间里，该理财软件中共有422个异常账户被恶意充值，其中269个账户提现成功，非法提现金额高达人民币1056万元。被非法提现人民币总计达1056万元。

DCCI首次专项检测理财类APP：可越界获取多项隐私权限

投资理财类软件不止有安全漏洞威胁，还存在多项隐私权限被越界获取的问题。用户隐私权限被获取后，这些应用就可能越界访问联系人、获取手机号、读取短信记录，也有可能私自发送短信、拨打电话等，给用户带来资费消耗。若个人隐私信息被不法分子恶意利用，则会给公民的信息安全和人身财产安全带来威胁。

9月13日第五届中国互联网安全大会（ISC2017）移动终端安全论坛上，360联手DCCI发布了我国首份手机安全生态报告。报告中，首次对投资理财类APP进行了专项检测。经检测发现：投资理财类APP可对“位置信息”、“打开摄像头”、“设备信息”、“WiFi开关”等隐私权限进行越界获取。

投资理财类APP越界获取“读取通话记录”、“读取位置信息”、“打开蓝牙开关”和“访问联系人”权限较多，比重分别为7.7%、5.7%、4.2%和4.1%。其中APP越界获取“通话记录”和“访问联系人”这两项权限，均可导致用户个人信息泄露。

图二：投资理财类APP中获取和越界获取各种不同隐私权限的APP比例

对此360手机卫士安全专家提醒：用户在安装投资理财APP前，要对各种隐私条款和政策进行了解，对极易泄露个人隐私的权限选择“关闭”选项，从源头上切断隐私信息被窃取的危害。此外，用户急需提升对个人隐私信息的保护意识，才能进一步保障个人信息安全及人身财产安全，避免上述案例再次发生。