随着移动互联网的迅速发展，传统金融机构纷纷通过大力发展移动金融业务、不断提高对传统服务的替代率来抢占移动金融市场。但是，由于银行等金融机构往往在移动领域的技术储备不足，很多金融机构选择将系统外包开发。以移动银行系统为例，开通相关业务的国有商业银行、全国性股份制商业银行和城市商业银行超过80%都是外包开发的。外包的引入推动了移动金融创新的步伐，快速打造了WAP手机银行、短信银行、APP手机银行、微信银行等系列产品，为用户提了丰富的移动金融服务。

但是，外包开发的移动金融应用在安全性方面存在巨大隐患：外包的开发人员水平参差不齐，大部分外包开发人员在安全方面的技能和意识几乎可以忽略不计；外包商的信息安全管理水平也较差，甚至难以保障自身的安全性，更不要说交付的系统。

案例分析

国内某漏洞平台曾经曝光过这样一个漏洞：某大型国有银行的移动银行iOS客户端中存在一个txt文件，文件中存储了一个svn服务器的ip地址、用户名和密码，黑客解压出该文件获取信息后可以直接连并checkout服务器上的文件。

该svn服务器上存储的内容简直超乎想象，包括该国有银行移动银行系统的全部项目文档、完整的Android和iOS客户端代码，甚至还存放了用于客户端签名的数字证书。下图是当时被曝光的部分数据的截图。利用这些数据信息，黑产从业者可以开发一个拥有该银行合法签名的移动银行木马，借助互联网资源下载网站、论坛甚至假基站等渠道传播。

据悉，这台服务器是外包开发商L公司的。L公司号称是专注于向银行提供手机银行全面解决方案和手机支付解决方案的高新技术企业，客户遍布全国。

由此可见，外包开发确实存在很大的安全风险。同时，在未来一段时间内，金融机构应该仍将会借助外包公司的力量快速建设和升级移动金融业务平台。为了防止外包开发移动应用带来的风险，除了选择资质较高的外包公司之外，还可以加强与第三方移动应用保护平台的合作，做好应用上线前的漏洞分析、应用加密（www.ijiami.cn），及上线后的渠道监测，及时修复移动应用的风险漏洞。