来自 科技 2020-10-27 15:48 的文章

金融App安全报告:超9成证券、外汇类App存高危漏

近日,中国信息通信研究院发布《2020年数字金融App安全观测报告》(简称《报告》)。

《报告》检测了2万余款金融行业App,超9成App存在安全漏洞。与2019年相比,流氓行为类恶意程序感染率增长明显,广东省受到恶意程序感染的App数量最多。在数字金融App侵害用户权益问题上,保险类App问题数量最多。

金融App安全报告:超9成证券、外汇类App存高危漏

证券、外汇类App存在高危漏洞占比超96%

《报告》对25392款金融行业App进行扫描,共有22884款app存在不同程度的安全漏洞,占比由2019年的73.23%提升至90.12%,且高、中、低个等级安全漏洞占比均有明显增长。

从APP分类角度来看,证券类、外汇类App的高危漏洞问题较为突出,存在高危漏洞App的比例高达96%以上。与2019年观测数据相比,银行、消费金融类app的高危占比增长显著。

金融App安全报告:超9成证券、外汇类App存高危漏

从高危漏洞类型来看,2020年上半年的高危漏洞Top10和2019年的观测结果相比变化不大。其中,系统键盘使用风险泄露、ZipperDown漏洞和SO文件加固检测漏洞首次出现在Top10,并分别占据了第一、第二和第六位。

其中,系统键盘使用风险泄露的app数量占据观测总数的78.52%。移动用户在 App 的登录、注册、支付等敏感界面输入信息时,使用了不安全的系统键盘,存在数据被拦截与监听的风险,容易导致账号、密码等敏感数据泄露,系统键盘使用风险成为当前App面临的主要安全问题。

流氓行为恶意程序感染率增长明显

《报告》称,在所有被检测的App中,共有8563款App存在恶意程序,感染率高达29%。其中,具有流氓行为的恶意程序极为突出,占恶意程序总数的93.83%。

所谓“流氓行为”,即这类恶意程序对系统没有直接损害,但会严重影响用户体验。包括但不限于在用户不知情或未授权的情况下,自动捆绑安装的;在用户未授权的情况下,弹出广告窗口的;执行用户未授权的其他操作等。

金融App安全报告:超9成证券、外汇类App存高危漏

值得注意的是,与2019年的观测情况相比,流氓行为类恶意程序感染率增长明显,由82.02%增长到93.92%。隐私窃取类和恶意传播类恶意程序感染率有所下降。

从地域分布来看,广东受到恶意程序感染的App数量最多,占全部收到恶意程序感染的App总数的45.21%。

从App细分领域角度来看,受到恶意程序感染的App数量前三的类别分别为投资理财、消费金融和数字货币类,分别有2586款、1475款、543款。同时,与2019年的观测数据相比,这三类App感染恶意程序的占比均有大幅提升。

统计、社交、框架和地图类SDK占比提升

随着移动互联网的快速发展,越来越多的服务商选择将其服务封装成SDK(软件开发工具包)供开发者使用。《报告》称,开发者为提升效率、降低成本,往往会在开发过程中嵌入第三方SDK。但是,第三方SDK常存在安全漏洞、恶意程序、个人信息泄露等安全问题。

《报告》指出,有6435款金融行业App嵌入第三方SDK,占比22.14%。这些App共嵌入22818个第三方,平均每款App嵌入3.5个。

金融App安全报告:超9成证券、外汇类App存高危漏

与2019年相比,排名前三的SDK种类并无变化,分别是推送类、统计类和社交类。但值得注意的是,统计类、社交类、框架类和地图类SDK占比均有提升,需加强关注相关类别SDK的安全性问题。

《报告》还指出,金融行业 App 开发者对于安全加固的重视程度不足,至少进行过一次安全加固的App仅占15.75%,有超过 8 成的金融行业 App 未进行过安全加固。

保险类App在侵害用户权益问题上数量最多

针对数字金融App侵害用户权益的问题,《报告》对银行、保险、证券各10款,共计30款金融行业App进行检测。其中,保险类App问题数量最多,占问题总数的47.06%。

金融App安全报告:超9成证券、外汇类App存高危漏

检测发现,抽样App中有16款存在“违规收集使用个人信息”的问题,有3款存在“超范围收集个人信息”的问题。有10款存在“频繁索取权限”的问题,3款存在“过度索取权限”;2款存在“强制索取权限”的问题。

《报告》以某银行类App为例,检测发现该应用在启动时,必须要授权使用拍摄照片和录制视频权限以及提供位置信息,否则无法使用 App。但实际上,这两项权限并非该 App 正常运行的必要权限,涉嫌强制索取权限。

金融App安全报告:超9成证券、外汇类App存高危漏

上述《报告》指出,检测发现,个别应用分发平台存在管理责任落实不到位的问题,缺乏完善的 App上架审核机制,可能导致部分存在漏洞或者恶意程序的App 被发布上线,存在侵害用户权益的风险。

针对数字金融App安全问题,《报告》亦对App相关监管部门、开发运营者、应用分发平台以及App用户提出建议。相关监管部门应强化跨部门安全联动管理、完善行业分管、协同联动的管理模式,加大治理力度。

《报告》指出,作为责任主体,App开发运营者的安全意识与防护能力至关重要。App开发运营者应明确App提供的服务类型和最小必要个人信息范围,仅申请App业务功能所必需的权限。同时,加强对嵌入使用的第三方SDK的安全检测。App应用分发平台应加强对App上架前的审核,对违法违规App不予上架。

此外,《报告》建议App用户从正规的应用分发平台下载App,并及时更新升级。同时,认真阅读隐私政策和权限提醒,关注相关权限是否为使用该App所必需的。设置高强度密码并定期更换,谨慎使用“一键登录”等弱验证的功能。

责任编辑: