根據《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關於加強網絡信息保護的決定》等法律法規和《中國金融業信息技術“十三五”發展規劃》《金融科技(FinTech) 發展規劃(2019—2021 年)》《信息安全技術 個人信息安全規範》等標準規範與文件精神,中國信息通信研究院(以下簡稱:中國信通院)聚焦於金融行業 App,梳理金融行業 App 的安全現狀,探究金融行業 App 的網絡安全問題,總結形成本觀測報告:
(一)高危漏洞普遍存在
報告團隊對 133327 款金融行業 App 進行掃描,共計檢測出1979696 條漏洞記錄,涉及 60 種漏洞類型,其中有 21 種為高危漏洞。金融行業 App 中,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞。平均每款金融行業 App 存在 20.3 個安全漏洞,其中 6.7 個為高危漏洞。
從 App 分類角度來看,互聯網第三方支付和信託類 App 的高危漏洞問題較為突出,存在高危漏洞 App 的比例 93.87%和 93.44%。保險、投資理財、外匯等分類的 App 高危漏洞問題也相對嚴重,存在高危漏洞的 App 比例超過 85%。
(二)惡意程序問題嚴峻
經報告團隊使用的惡意程序檢測系統檢測發現,共有 8217 款金融行業 App 被檢測出含有惡意程序,惡意程序感染率為 6.16%。主要涉及移動用戶的隱私數據收集、惡意扣費、流量資源消耗、廣告推送等多種惡意行為,對移動用戶的個人信息及財產安全帶來巨大威脅。有82.02%的 App 已經受到具有流氓行為的惡意程序感染,這類惡意程序會在用戶未授權的情況下,彈出廣告窗口等,不僅影響用戶使用體驗,而且如用戶誤觸點擊可能帶來進一步隱私風險和安全問題;9.10%的 App 受到具有信息竊取行為的惡意程序感染,這類惡意程序會竊取用戶短信、通訊錄、通話記錄、位置等敏感信息,導致用戶信息洩露;5.25%的 App 受到具有惡意傳播行為的惡意程序感染,這類惡意程序的特徵是在用戶不知情或未授權的情況下,將自身、自身的衍生物或其它惡意程序擴散到正常設備。
(三)使用 SDK 引入風險
從 App 細分領域角度來看,受到惡意程序感染的 App 數量前三的類別分別為消費金融類、彩票類、P2P 金融類 App,分別有 4166款、2378 款、949 款 App 已經受到惡意程序感染。而從各個分類受到惡意程序感染的 App 比例來看,消費金融類、彩票類、P2P 金融類受到惡意程序感染的比例相對較高,均超過 6%.
(四)違規索權侵犯隱私
敏感權限獲取和隱私信息洩漏是近年來 App 安全關注和防範的重點。App 索取用戶設備的敏感權限和用戶的隱私信息,可能導致用戶設備被植入惡意程序、用戶賬戶和隱私信息洩露等一系列安全風險。本次調研抽樣選取了 12 款下載量過億的典型金融行業 App,分別對敏感權限的獲取情況和在隱私政策方面存在的問題進行了分析,發現多款 App 存在不同程度的超範圍索取用戶權限的情況,在隱私政策方面也存在多種違法違規行為,給用戶個人隱私信息安全帶來了隱患。
全國信息安全標準化技術委員會於 2019 年 6 月發佈的《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範》明確規定,金融行業 App 基本業務功能收集的必要信息包括:“手機號碼”、“賬號信息”、“身份信息”、“銀行賬戶信息”、“個人徵信信息”、“緊急聯繫人信息”以及“借貸交易記錄”7 項內容。應用程序訪問設備的手機功能及修改或刪除存儲卡中的內容涉嫌超範圍獲取權限。此外,App 慣常獲取的高敏感權限還包括:發起電話呼叫、錄製音頻、拍攝照片和錄製視頻、讀取系統日誌等,給用戶隱私帶來巨大安全隱患。
未嚴格遵守隱私政策法規隱私政策法規是 App 在對個人信息進行收集、使用、存儲、分享等各種操作環節的行為規範,需要 App 用戶對其充分知曉和同意。《網絡安全法》第 41 條規定“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意”。然而,在隱私政策方面,抽樣的部分 App 中也涉嫌存在違法違規問題.
App 的使用者 ,在網絡安全方面,網民在絕大多數情況下是各類網絡安全事件的直接受害者。從保護自身權益和規避網絡安全事件角度,建議 App 的使用者,一是從正規應用市場下載 App,不隨意點開不明下載鏈接;二是採用高強度口令,定期更換口令,避免口令重複;三是定期檢測並及時使用安全軟件修補漏洞,及時對系統和 App 進行更新升級;四是提高自身隱私安全意識,避免註冊過多 App 和暴露過多個人隱私信息.
2019 金融行業移動 App 安全觀測報告
閱讀更多 西點法務welaws 的文章
