根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规和《中国金融业信息技术“十三五”发展规划》《金融科技(FinTech) 发展规划(2019—2021 年)》《信息安全技术 个人信息安全规范》等标准规范与文件精神,中国信息通信研究院(以下简称:中国信通院)聚焦于金融行业 App,梳理金融行业 App 的安全现状,探究金融行业 App 的网络安全问题,总结形成本观测报告:
(一)高危漏洞普遍存在
报告团队对 133327 款金融行业 App 进行扫描,共计检测出1979696 条漏洞记录,涉及 60 种漏洞类型,其中有 21 种为高危漏洞。金融行业 App 中,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞。平均每款金融行业 App 存在 20.3 个安全漏洞,其中 6.7 个为高危漏洞。
从 App 分类角度来看,互联网第三方支付和信托类 App 的高危漏洞问题较为突出,存在高危漏洞 App 的比例 93.87%和 93.44%。保险、投资理财、外汇等分类的 App 高危漏洞问题也相对严重,存在高危漏洞的 App 比例超过 85%。
(二)恶意程序问题严峻
经报告团队使用的恶意程序检测系统检测发现,共有 8217 款金融行业 App 被检测出含有恶意程序,恶意程序感染率为 6.16%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大威胁。有82.02%的 App 已经受到具有流氓行为的恶意程序感染,这类恶意程序会在用户未授权的情况下,弹出广告窗口等,不仅影响用户使用体验,而且如用户误触点击可能带来进一步隐私风险和安全问题;9.10%的 App 受到具有信息窃取行为的恶意程序感染,这类恶意程序会窃取用户短信、通讯录、通话记录、位置等敏感信息,导致用户信息泄露;5.25%的 App 受到具有恶意传播行为的恶意程序感染,这类恶意程序的特征是在用户不知情或未授权的情况下,将自身、自身的衍生物或其它恶意程序扩散到正常设备。
(三)使用 SDK 引入风险
从 App 细分领域角度来看,受到恶意程序感染的 App 数量前三的类别分别为消费金融类、彩票类、P2P 金融类 App,分别有 4166款、2378 款、949 款 App 已经受到恶意程序感染。而从各个分类受到恶意程序感染的 App 比例来看,消费金融类、彩票类、P2P 金融类受到恶意程序感染的比例相对较高,均超过 6%.
(四)违规索权侵犯隐私
敏感权限获取和隐私信息泄漏是近年来 App 安全关注和防范的重点。App 索取用户设备的敏感权限和用户的隐私信息,可能导致用户设备被植入恶意程序、用户账户和隐私信息泄露等一系列安全风险。本次调研抽样选取了 12 款下载量过亿的典型金融行业 App,分别对敏感权限的获取情况和在隐私政策方面存在的问题进行了分析,发现多款 App 存在不同程度的超范围索取用户权限的情况,在隐私政策方面也存在多种违法违规行为,给用户个人隐私信息安全带来了隐患。
全国信息安全标准化技术委员会于 2019 年 6 月发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》明确规定,金融行业 App 基本业务功能收集的必要信息包括:“手机号码”、“账号信息”、“身份信息”、“银行账户信息”、“个人征信信息”、“紧急联系人信息”以及“借贷交易记录”7 项内容。应用程序访问设备的手机功能及修改或删除存储卡中的内容涉嫌超范围获取权限。此外,App 惯常获取的高敏感权限还包括:发起电话呼叫、录制音频、拍摄照片和录制视频、读取系统日志等,给用户隐私带来巨大安全隐患。
未严格遵守隐私政策法规隐私政策法规是 App 在对个人信息进行收集、使用、存储、分享等各种操作环节的行为规范,需要 App 用户对其充分知晓和同意。《网络安全法》第 41 条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。然而,在隐私政策方面,抽样的部分 App 中也涉嫌存在违法违规问题.
App 的使用者 ,在网络安全方面,网民在绝大多数情况下是各类网络安全事件的直接受害者。从保护自身权益和规避网络安全事件角度,建议 App 的使用者,一是从正规应用市场下载 App,不随意点开不明下载链接;二是采用高强度口令,定期更换口令,避免口令重复;三是定期检测并及时使用安全软件修补漏洞,及时对系统和 App 进行更新升级;四是提高自身隐私安全意识,避免注册过多 App 和暴露过多个人隐私信息.
2019 金融行业移动 App 安全观测报告
閱讀更多 西點法務welaws 的文章
