一、问题描述

某移动金融App进入登录、密码修改或支付等需要输入密码的页面后，点击密码输入框弹出系统键盘。App输入密码后，可通过技术工具获取内存中的密码明文。

二、问题认定

《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019）第5.1.2.1条规定，“客户端应用软件应提供客户输入银行卡支付密码和网络支付支付密码的即时防护功能，客户端应提供安全控制措施，或其他经攻击测试无法获取明文的安全防护措施”；《移动金融客户端应用软件安全检测规范》（T/NIFA 9-2021）第5.1.2.1条进一步明确，“客户端应用软件在输入账户登录密码、银行卡支付密码和网络支付交易密码等认证信息时采用替换输入框原文、逐字符加密、字符加密、防范键盘窃听、自定义软键盘，或者通过其他方式保证攻击测试无法获取输入信息的明文”。

三、合规建议

移动金融App在用户输入密码等认证信息时，应提供即时防护功能，保证用户信息安全。