2019金融行业移动App安全观测报告.pdf

前言坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大会议精神，为促进金融科技安全发展，推动金融风控水平提高，根据中华人民共和国网络安全法全国人民代表大会常务委员会关于加强网络信息保护的决定等法律法规和中国金融业信息技术“十三五”发展规划金融科技（FinTech ）发展规划（20192021 年）信息安全技术个人信息安全规范等标准规范与文件精神，中国信息通信研究院（以下简称：中国信通院）在有关领导部门的指导下，聚焦于金融行业 App，梳理金融行业 App 的安全现状，探究金融行业 App 的网络安全问题，总结形成本观测报告。本次观测行动集中观测了金融行业中基于安卓系统的移动应用，共涉及 232 个应用市场收录的 133327 款金融行业 App。经过持续数月的观测，本报告研究团队综合运用大数据、漏洞扫描、病毒检测、抽样研究等技术和分析手段，全方位、多维度地梳理了金融行业 App的网络安全现状。研究发现，金融行业 App 的安全风险集中体现在以下五个方面，一是高危漏洞普遍存在，二是恶意程序问题严峻，三是使用 SDK 引入风险，四是违规索权侵犯隐私，五是缺乏有效安全加固。本报告旨在通过对金融行业的移动 App 进行安全观测与风险分析，提出金融行业 App 安全工作的思路与建议，通过各单位的协同联动，促进金融行业 App 的网络安全生态体系建立，支撑保障金融行业的安全发展。目录一、金融行业 App 观测背景 . 1 （一）移动应用安全的政策背景 . 1 （二）金融行业 App 的安全现状 . 2 二、金融行业 App 观测结果 . 3 （一）观测对象分布情况 . 3 （二）观测对象风险集中表现 . 5 三、金融行业 App 的安全风险分析 . 7 （一）高危漏洞普遍存在 . 7 （二）恶意程序问题严峻 . 9 （三）使用 SDK 引入风险 . 11 （四）违规索权侵犯隐私 . 13 （五）缺乏有效安全加固 . 20 四、金融行业 App 的安全工作思路 . 24 （一）相关行业主管部门 . 24 （二）应用商店运营者 . 24 （三）App 开发者 . 24 （四）App 的使用者 . 25 附录 A 金融行业 App 地域分布表 . 26 附录 B 金融行业 App 分类逻辑及典型应用 . 27 附录 C Top10 高危漏洞说明 . 29 附录 D App 恶意程序类型解释 . 32 附录 E 受到恶意程序感染的 App 地域分布表 . 33 2019 金融行业移动 App 安全观测报告 1 一、金融行业 App 观测背景（一）移动应用安全的政策背景自十八大以来，党中央和国务院高度重视网络安全。习近平总书记指出，没有网络安全就没有国家安全，将网络安全提升到国家战略高度。随着移动互联网的快速发展，移动互联网安全在整体网络安全中的重要性愈加突出，而移动互联网安全的重中之重就是移动 App的网络安全。 2019 年 1 月 25 日，中央网信办、工业和信息化部、公安部、市场监督总局四部门联合发布关于开展 App 违法违规收集使用个人信息专项治理的公告，成立 App 专项治理工作组在全国范围内组织开展 App 违法违规收集使用个人信息专项治理行动。 3 月 1 日， App专项治理工作组发布了 App 违法违规收集使用个人信息自评估指南（以下简称评估指南），指导各相关单位进行自查整改。 3 月 15日，市场监管总局、中央网信办正式对外发布公告，将依据移动互联网应用程序（App ）安全认证实施规则开展 App 安全认证工作。5 月 5 日， App 专项治理工作组起草了App 违法违规收集使用个人信息行为认定方法（征求意见稿）（以下简称认定方法），并在其官网和公众号公开，向社会各界公开征求意见，认定方法明确界定了 App 收集使用个人信息方面的违法违规行为，为 App 运营者自查自纠提供指引，为 App 评估和处置提供参考。 7 月 1 日，工业和信息化部印发电信和互联网行业提升网络数据安全保护能力专项行动方案，强调为深化 App 违法违规专项治理，将持续推进 App 违2019 金融行业移动 App 安全观测报告 2 法违规采集使用个人信息专项治理行动。 8 月 8 日，为落实中华人民共和国网络安全法（以下简称网络安全法）对个人信息保护的相关要求的同时，加快相应标准化工作，全国信息安全标准化技术委员会秘书处颁布信息安全技术移动互联网应用（App ）收集个人信息基本规范（草案），向社会公开征求意见。 App 相关法律法规的密集颁布和出台，体现了政府对于保障 App网络安全的重视和治理 App 网络安全的决心，也反映出当前移动 App安全面临着严峻的形势。（二）金融行业 App 的安全现状近年来，随着智能手机和移动互联网的快速发展，移动 App 已经深入应用到大众生活的方方面面。用户通过金融行业进行投融资、借贷、交易支付等活动愈加频繁，大部分的金融机构平台通过移动 App开展业务。然而，移动 App 在给大众生活带来巨大便利的同时，也带来了相应的安全隐患。移动 App 网络安全相关的法律法规和标准规范体系不完善，给不法分子带来可乘之机；安卓第三方应用商店繁多，App 上线审核不规范，管理不严格情况时有发生；部分金融行业 App开发者安全意识淡薄，技术手段落后，开发流程不规范，更新修复不及时等问题严重； App 的用户缺乏安全意识，不良的 App 使用习惯带来安全隐患。据 2019年上半年我国互联网网络安全态势报告显示，CNCERT 对 105 款互联网金融 App 检测发现安全漏洞 505 个，其中高危漏洞 239 个。高危漏洞中，包括 59 个明文数据传输漏洞、 58 个明文存储密码漏洞和 40 个源代码反编译漏洞。这些安全漏洞可能威2019 金融行业移动 App 安全观测报告 3 胁交易授权和数据保护，带来严重的安全风险。为了进一步贯彻落实习近平总书记网络强国战略思想，促进金融行业安全发展，为金融行业管理部门、金融机构和信息安全厂商提供决策依据，中国信通院安全研究所行业安全团队对基于安卓系统的金融行业 App 网络安全现状进行观测，形成本观测报告。二、金融行业 App 观测结果（一）观测对象分布情况截止 2019 年 9 月 11 日，报告团队已从 232 个安卓应用市场中收录了 133327 款金融行业 App。从观测对象的地域分布来看，有 130022 款可以明确归属省份，全国 34 个省级行政区均有金融行业 App 生成（金融行业 App 地域分布详细数据参见附录 A），平均每个省份生成金融行业 App3824 款。金融行业 App 地域分布不均，广东、湖北和北京分别以 29.60%、 21.30%和 12.96%的高占比排名金融行业 App 生成数量前三，而西藏、青海等 6 省份总占比仅有 0.18%。具体数据如图 1 所示。 2019 金融行业移动 App 安全观测报告 4 图 1 App区域分布情况从金融行业 App 细分领域来看（金融行业 App 分类逻辑及典型应用参见附录 B），借贷类 App 包揽前三名中的两个席位。其中，面向个人用户的消费金融类 App 数量最多，占观测总数的 36.74%；面向企业的 P2P 金融类 App 排名第三，占观测总数的 11.38%；彩票类App 排名第二，占观测总数的 27.19%。不同细分领域 App 占比如图2 所示： 2019 金融行业移动 App 安全观测报告 5 图 2 不同细分领域 App数量及占比（二）观测对象风险集中表现 1 以数据泄露为代表的高危漏洞风险在本次观测中，发现有 70.22%的金融行业 App 存在高危漏洞，攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等，对 App 安全具有严重威胁。其中 Top3 的高危漏洞均存在导致 App 数据泄露的风险。 2 以流氓行为代表的恶意程序感染风险本次观测发现，共有 8217 款金融行业 App 被检测出恶意程序，感染率为 6.16%，主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为，给 App 用户的个人隐私及财产安全带来危害。其中受到流氓行为恶意程序感染的 App 占比最多，约为 82.02%。 3 使用第三方 SDK 引入安全风险本次观测发现，共有 20.48%的金融行业 App 被嵌入了第三方1222615431693189822092553266432634259134441517936253489860.09%0.20%0.41%1.27%1.42%1.66%1.91%2.00%2.45%3.19%10.08%11.38%27.19%36.74%0 10000 20000 30000 40000 50000 60000信托互联网第三方支付外汇数字货币银行保险其他股票财务管理证券投资理财P2P金融彩票消费金融2019 金融行业移动 App 安全观测报告 6 SDK,嵌入的 SDK 数量共计高达 104005 个。在嵌入 SDK 的金融行业App 中，有 45%的 App 嵌入了 5 个及以上的 SDK。由于第三方 SDK存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险，使得金融行业 App 也面临一定的安全隐患。 4 违规索权带来的隐私泄露风险本次观测中选取了具有典型代表性的 12 款下载量过亿的金融行业 App 进行抽样分析，经研究发现，多款 App 存在不同程度的超范围索取用户权限的情况，在隐私政策方面也存在多种违法违规行为，给用户个人隐私信息安全带来隐患。 App 用户的个人隐私信息一旦泄露，将带来严重的后果，如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等，会严重损害 App 用户的利益。 5 安全加固不足暴露安全风险本次观测发现，仅有 17.08%的金融行业 App 进行了安全加固，超过 80%的金融行业 App 在应用市场“裸奔”，未进行任何的安全加固。然而，基于 Java 语言编写的安卓应用程序如不进行加固，则其打包的 APK 文件很容易被反编译工具进行逆向分析，进而暴露风险。 2019 金融行业移动 App 安全观测报告 7 三、金融行业 App 的安全风险分析（一）高危漏洞普遍存在报告团队对 133327 款金融行业 App 进行扫描，共计检测出1979696 条漏洞记录，涉及 60 种漏洞类型，其中有 21 种为高危漏洞。金融行业 App 中，73.23% 存在不同程度的安全漏洞，70.22% 存在高危漏洞。平均每款金融行业 App 存在 20.3 个安全漏洞，其中 6.7 个为高危漏洞。具体数据如图 3 所示。图 3 金融行业 App各等级漏洞情况从 App 分类角度来看，互联网第三方支付和信托类 App 的高危漏洞问题较为突出，存在高危漏洞 App 的比例 93.87%和 93.44%。保险、投资理财、外汇等分类的 App 高危漏洞问题也相对严重，存在高危漏洞的 App 比例超过 85%。具体数据如图 4 所示。低危漏洞 , 73.03%中危漏洞 , 73.14%高危漏洞 , 70.22%