仅凭短信验证登录，账户内个人信息完整呈现……APP中这些漏洞不能不防

　　东方网记者李欢9月17日报道：手机APP里保存着的个人信息安全吗?今天上午，黄浦警方对外披露一起信用卡盗刷案，一些常用APP中免密码登录、常用信息留存等功能为犯罪嫌疑人开了“方便之门”。东方网记者体验发现，多个APP均有免密码登录的设计，常用信息留存的漏洞多在预订平台中存在。

　　在警方披露的这起新型信用卡盗刷案中，嫌疑人控有他人SIM卡后，插入工作机进行使用。再以此手机号为用户名，仅需通过短信验证码的方式，便能在携程、去哪儿等多个出行平台成功登录。只要被害人曾通过一款出行软件订购过火车票、机票，嫌疑人便能通过再次“预订”车票的方式，从“常用出行人”中轻易获取被害人的姓名、身份证号码。

　　警方认为，此案暴露出当前APP存在的两个安全风险问题：一是APP仅凭手机短信验证码便可以找回密码甚至直接登录;二是APP内保存着的重要个人信息没有经过二次加密或二次验证。

　　东方网记者尝试登录多款APP发现，手机短信验证的漏洞普遍存在，而重要个人信息的二次加密，涉及财务支付类的软件大多可以做到，出游预订类软件当中则有不少都存在问题。

　　以“去哪儿旅行”APP为例，记者通过短信验证码登录后，在“常用旅客”界面中可以看到曾经在该平台上预订过的所有旅客的身份证、护照、手机号码信息。在其他几款主流第三方预订APP上，也存在着相同的问题。

　　第三方平台如此，官方直营的订票APP如何?

　　记者通过手机短信动态验证码的方式相继登录了“中国国航”“南方航空”“东方航空”“春秋航空”“厦门航空”APP，在“常用乘机人”栏目中，包括有效证件号、出生日期、电话号码在内的个人信息均可以完整呈现。

　　相对而言，“铁路12306”APP的设计更加严密。记者选择以手机号码“找回密码”后，系统除了要求填入动态短信验证码外，还要求输入完整的证件号码。即便能够登录成功，在账户的“常用联系人”中，本人及曾经预订过的身份信息都经过了加密处理，且不能编辑。

　　业内人士认为，在支付宝、微信等主流结算APP中，客户完整的身份证号、银行卡账号、短信验证码，是关乎电子账户安全的重要因素，掌握这些信息的APP都应当设置一定等级的风险控制措施。

　　不少网友表示，有在出行预订软件中保留个人信息甚至一些亲友信息的习惯，“预订机票更方便”。也有网友对此持谨慎态度，认为保证信息安全更为重要，“为了保护好信息，我可以接受多几层的安全认证”。

　　事实上，在一些支付类APP中，指纹认证、面容识别甚至手势认证等安全认证方式被广泛应用。有市民认为，存有重要信息的APP也可以效仿上述形式，对信息作多重加密。

　　“便捷必然伴随着风险，两方如何权衡考验着这些企业的智慧。”上述业内人士表示。