現在,無論是借錢、投資還是交易支付,大家用金融類 App 的頻率大大增加,這些和“錢”有關的 App 到底安全性幾何?最近,中國信通院發佈了一份《2019金融行業移動App安全觀測報告》。
截止 2019 年 9 月 11 日,中國信通院的報告團隊從 232 個安卓應用市場中收錄了 133327 款金融行業 App。
從觀測對象的地域分佈來看,有 130022 款可以明確歸屬省份,全國 34 個省級行政區均有金融行業 App 生成,平均每個省份生成金融行業 App3824 款。金融行業 App 地域分佈不均,廣東、湖北和北京分別以 29.60%、21.30%和 12.96%的高佔比排名金融行業 App 生成數量前三,而西藏、青海等 6 省份總佔比僅有 0.18%。
從金融行業 App 細分領域來看,借貸類 App 包攬前三名中的兩個席位。其中,面向個人用戶的消費金融類 App 數量最多,佔觀測總數的 36.74%;面向企業的 P2P 金融類 App 排名第三,佔觀測總數的 11.38%;彩票類App 排名第二,佔觀測總數的 27.19%。
不同細分領域 App 佔比如圖所示:
重頭戲來了,和雷鋒網一起看看,這些金融 App 的風險集中表現在哪裡。
一、以數據洩露為代表的高危漏洞風險
在本次觀測中,發現有 70.22%的金融行業 App 存在高危漏洞,攻擊者可利用這些漏洞竊取用戶數據、進行 App 仿冒、植入惡意程序、攻擊服務等,對 App 安全具有嚴重威脅。其中 Top3 的高危漏洞均存在導致 App 數據洩露的風險。
二、以流氓行為代表的惡意程序感染風險
本次觀測發現,共有 8217 款金融行業 App 被檢測出惡意程序,感染率為 6.16%,主要涉及的惡意行為包括流氓行為、信息竊取、惡意傳播、資費消耗、遠程控制等多種惡意行為,給 App 用戶的個人隱私及財產安全帶來危害。其中受到流氓行為惡意程序感染的 App 佔比最多,約為 82.02%。
三、使用第三方 SDK 引入安全風險
本次觀測發現,共有 20.48%的金融行業 App 被嵌入了第三方SDK,嵌入的 SDK 數量共計高達 104005 個。在嵌入 SDK 的金融行業App 中,有 45%的 App 嵌入了 5 個及以上的 SDK。由於第三方 SDK 存在隱蔽收集用戶信息、自身安全漏洞易被不法分子利用等安全風險, 使得金融行業 App 也面臨一定的安全隱患。
四、違規索權帶來的隱私洩露風險
本次觀測中選取了具有典型代表性的 12 款下載量過億的金融行業 App 進行抽樣分析經研究發現,多款 App 存在不同程度的超範圍索取用戶權限的情況,在隱私政策方面也存在多種違法違規行為,給用戶個人隱私信息安全帶來隱患。App 用戶的個人隱私信息一旦洩露,將帶來嚴重的後果,如騷擾電話、信息詐騙、惡意推銷、網絡情感詐騙等,會嚴重損害 App 用戶的利益。
五、安全加固不足暴露安全風險
本次觀測發現,僅有 17.08%的金融行業 App 進行了安全加固,超過 80%的金融行業 App 在應用市場“裸奔”,未進行任何的安全加固。然而,基於 Java 語言編寫的安卓應用程序如不進行加固,則其打包的 APK 文件很容易被反編譯工具進行逆向分析,進而暴露風險。
不得不等: APP的安全目前看來存在很大問題,金融類APP理論上對網絡安全要求更高,也更重視,但實際測下來問題卻很多。那麼其他類型的APP估計形勢也不容樂觀。70.22%的金融 App 存在高危漏洞,超過 80%的金融行業 App 在應用市場“裸奔”,未進行任何的安全加固,攻擊者可利用這些漏洞竊取用戶數據、進行 App 仿冒、植入惡意程序、攻擊服務等,對 App 安全具有嚴重威脅。目前在app運營商和用戶之間不對等的關係下,唯有監管單位加強管理,對存在問題的app進行限期整改,方能維護好廣大用戶的合理權利。隨著12月1日等保2.0的正式實施,需要加快APP運營商落實網絡安全等級保護制度的工作,這樣能夠在一定程度上提高APP的安全防護能力。
閱讀更多 鶴壁網警巡查執法 的文章
