導讀:據中國信通院新近發佈的《中國移動金融應用白皮書》數據顯示,在抽樣調查中,金融行業APP,70.22%存在高危漏銅,而在細分領域互聯網第三方支付的高危漏洞比較突出,高危漏洞佔比達到93.87%,為所有細分領域最高。
據白皮書顯示,截至 2019 年 6 月,我國網民規模達8.54 億,較 2018 年底增長 2598 萬,互聯網普及率達 61.2%,較 2018年底提升了 1.6 個百分點;我國手機網民規模達 8.47 億,較 2018 年底增長 2984 萬,網民使用手機上網的比例達 99.1%,較 2018 年底提升了 0.5 個百分點。
在金融領域,隨著移動支付的普及,用戶通過智能移動終端進行 投融資、借貸、交易支付等活動愈加頻繁,大部分的金融機構平臺通 過移動 App 開展業務,移動金融應用的重要性和價值逐漸凸顯。移動金融就是將移動性賦予金融服務業,實現金融服務業務移動化。移動 金融包括銀行、證券、保險等傳統金融服務向移動端的轉移,也包括 移動互聯網借貸、理財等新興金融服務。移動金融能有效提升運營效 率,降低管理成本,為客戶提供更加便捷、實時、高效的服務。
然而,移動金融應用在給大眾生活帶來巨大便利的同時,也帶來了巨大的安全挑戰。
據《全球關鍵信息基礎設施網絡安全狀況分析報告(2017)》統計,金融行業是國家關鍵信息基礎設施行業中遭受網絡攻擊最多的行業,移 動金融應用的安全問題亟需關注。
其中以 高危漏洞、惡意程序、違規索權等安全問題最為突出;
以數據洩露為代表的高危漏洞風險
白皮書團隊對報告團隊對 133327 款金融行業 App 進行掃描,共計檢測出1979696 條漏洞記錄,涉及 60 種漏洞類型,其中有 21 種為高危漏洞。 金融行業 App 中,73.23%存在不同程度的安全漏洞,70.22%存在高 危漏洞。平均每款金融行業 App 存在 20.3 個安全漏洞,其中 6.7 個 為高危漏洞。
從 App 分類角度來看,互聯網第三方支付和信託類 App 的高危漏洞問題較為突出,存在高危漏洞 App 的比例 93.87%和 93.44%。保 險、投資理財、外匯等分類的 App 高危漏洞問題也相對嚴重,存在高 危漏洞的 App 比例超過 85%。
數據來源 :中國信通院
以流氓行為為代表的惡意程序風險
經報告團隊使用的惡意程序檢測系統檢測發現,共有 8217 款金 融行業 App 被檢測出含有惡意程序,惡意程序感染率為 6.16%。主要涉及移動用戶的隱私數據收集、惡意扣費、流量資源消耗、廣告推送 等多種惡意行為,對移動用戶的個人信息及財產安全帶來巨大威脅。
從惡意程序類型來看,有82.02%的 App 已經受到具有流氓行為的惡意程序感染,這類惡意程 序會在用戶未授權的情況下,彈出廣告窗口等,不僅影響用戶使用體 驗,而且如用戶誤觸點擊可能帶來進一步隱私風險和安全問題;9.10% 的 App 受到具有信息竊取行為的惡意程序感染,這類惡意程序會竊 取用戶短信、通訊錄、通話記錄、位置等敏感信息,導致用戶信息洩 露;5.25%的 App 受到具有惡意傳播行為的惡意程序感染,這類惡意 程序的特徵是在用戶不知情或未授權的情況下,將自身、自身的衍生物或其它惡意程序擴散到正常設備。
從 App 細分領域角度來看,受到惡意程序感染的 App 數量前三的類別分別為消費金融類、彩票類、P2P 金融類 App,分別有 4166款、2378 款、949 款 App 已經受到惡意程序感染。而從各個分類受到 惡意程序感染的 App 比例來看,消費金融類、彩票類、P2P 金融類受 到惡意程序感染的比例相對較高,均超過 6%。
違規索權帶來的隱私洩露風險
敏感權限獲取和隱私信息洩漏是近年來 App 安全關注和防範的重點。App 索取用戶設備的敏感權限和用戶的隱私信息,可能導致用戶設備被植入惡意程序、用戶賬戶和隱私信息洩露等一系列安全風險。 本次調研抽樣選取了 12 款下載量過億的典型金融行業 App,分別對 敏感權限的獲取情況和在隱私政策方面存在的問題進行了分析,發現 多款 App 存在不同程度的超範圍索取用戶權限的情況,在隱私政策 方面也存在多種違法違規行為,給用戶個人隱私信息安全帶來了隱患。
超範圍獲取敏感權限
研究發現,12 款 App 均存在不同程度的超範圍權限採集現象。 這些 App 共獲取了 29 種高敏感權限、15 種中敏感權限、33 種低敏感權限。
9 款及 9 款以上的應用獲取的權限類型有 25 種,其中,高敏感權限 8 種,中敏感權限 7 種,低敏感權限 10 種。
由上表可知,所有 App 均獲取兩項高敏感權限,一是獲取了“READ_PHONE_STATE”讀取手機狀態和身份權限,有此權限的應 用 允 許 訪 問 設 備 的 任 意 手 機 功 能 ; 二 是 獲 了“WRITE_EXTERNAL_STORAGE”寫入外置存儲器權限,有此權限 的應用可以修改或刪除存儲卡中的內容。全國信息安全標準化技術委 員會於 2019 年 6 月發佈的《網絡安全實踐指南——移動互聯網應用 基本業務功能必要信息規範》明確規定,金融行業 App 基本業務功能 收集的必要信息包括:“手機號碼”、“賬號信息”、“身份信息”、 “銀行賬戶信息”、“個人徵信信息”、“緊急聯繫人信息”以及“借 貸交易記錄”7 項內容。應用程序訪問設備的手機功能及修改或刪除 存儲卡中的內容涉嫌超範圍獲取權限。
此外,App 慣常獲取的高敏感權限還包括:發起電話呼叫、錄製 音頻、拍攝照片和錄製視頻、讀取系統日誌等,給用戶隱私帶來巨大安全隱患。
總結:
據 App Annie 發佈的《2019 年移動市場報告》數據顯示,2018 年全球移動應用下載量 1940億,其中我國的移動應用下載量佔比將近 50%,是目前全球移動應用下載量最大的國家 。
在金融領域, 隨著移動支付的普及, 用戶通過智能移動終端進行投融資、借貸、交易支付等活動愈加頻繁,大部分的金融機構平臺通過移動 App 開展業務, 移動金融應用的重要性和價值逐漸凸顯。
移動金融應用在給大眾生活帶來巨大便利的同時,也帶來了巨大的安全挑戰。
本文主要數據來源《移動金融應用安全白皮書(2019 年) 》 ,如需獲取完整檔PDF,點擊關注並私信回覆:白皮書,可直接下載。
閱讀更多 未來智造 的文章
