金融行业移动APP安全性研究报告
金融类移动APP风险监测评估
新浪金融研究院
北京智游网安科技有限公司(爱加密)
2019年12月30日
前言
自2017年起,金融行业监管趋严,以当年出台的《关于整顿“现金贷”业务的通知》为代表,互联网金融各细分领域规范政策相继出台。受此影响,互联网金融由“野蛮生长”开始逐渐步入稳步增长期,行业集中度得到提升,行业产业链得以重塑。
国家一直在对移动应用的安全性进行治理。随着越来越多网络安全法律法规的制定落地,移动应用安全建设及合规的必要性与日俱增。然而金融行业移动应用安全问题却不容乐观。近日对市场上金融类移动应用进行梳理发现,目前已有217个应用市场收录了13W+的金融类应用,分布范围基本覆盖全国各地。从安全风险漏洞来看,73.23%的金融类APP存在安全漏洞;6.16%的APP存在恶意程序攻击现象;20.48%的金融类APP被嵌入了第三方SDK,。在如此高风险的背景下,仅有17.08%的APP进行过一次安全加固,应用主体自我防护意识相当淡薄。
一、金融类APP的安全现状
截止2019年9月中旬,232个应用市场中共计收录了133327款金融类APP。
(一)APP区域分布不均,北上广浙超全国总量半数
从APP区域分布来看,金融类APP遍布全国各地,有130022款可以根据区域划分规则明确归属地,下列区域分布仅基于这130022款做分析。
广东生成APP数量最多,占监测总数的29.60%;湖北以21.30%的占比排名第二;北京以16857款的金融类APP数量位列第三。平均每个省份生成金融类APP3824款。
图1APP区域分布情况
(二)应用市场集中度高,前十应用市场收录近6成APP
从应用市场来看,收录量排名前十的应用平台汇聚了59.03%的APP,远超其它222个应用市场之和。应用宝以16.29%的高收录占比拔得头筹;5577我机市场则以13716的数量位居第二;百度手机助手排行第三,APP收录量占监测总数的6.84%。详见图2:
图2APP应用市场分布图(前十)
(三)借贷类应用占据近半数市场
从金融类应用细分领域来看,借贷性质应用包揽前三名中的两席席位,其中,面向个人用户的小额贷消费金融类APP数量最多,占监测总数的36.74%;面向企业的P2P金融排名第三,占监测总数的11.38%;彩票类应用排名第二,占监测总数的27.19%。不同细分领域APP占比如下所示:
图3不同细分领域APP数量及占比
二、金融类APP的安全风险研究
(一)高危漏洞普遍存在,APP仿冒风险突出
对金融类APP进行漏洞检测时发现了60种漏洞类型,其中高危漏洞类型21种,有93616款APP存在631809个高危漏洞,平均每个APP遭受6.7个高危漏洞攻击。
图4高危漏洞类型分布(前十)
(二)病毒感染不容忽视,恶意行为带来威胁
经病毒检测系统检测,8217款金融类APP被检测出恶意程序,感染率为6.16%,主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大威胁。
图5APP病毒类型分布情况(一款APP可能存在多种病毒)
(三)第三方SDK应用广泛,数据安全存在隐患
第三方SDK通常是造成用户个人信息在网上“裸奔”的罪魁祸首。监测发现,20.48%的金融类APP共嵌入104005个第三方SDK,平均每款APP嵌入3.8个。
经检测,有27300款金融类APP嵌入第三方SDK。其中,38.83%的APP仅嵌入1个SDK,SDK数量占嵌入总数的10.19%;SDK个数为5的APP数量第二多,占嵌入SDK APP总量的23.12%,30.35%的SDK数量汇聚于此。不同SDK个数区间APP分布如下所示:
图6不同SDK个数区间对应的APP分布情况
(四)超范围获权现象广,隐私条款乱象丛生
1.金融类APP敏感权限获取情况
本次挑选了12款下载量过亿且存在超范围获权的金融类APP,所有APP均存在超范围采集现象,共获取29种高敏感权限、15种中敏感权限、33种低敏感权限。所以APP均存在获取高敏感隐私权限问题。不同敏感等级的隐私权限获取数量如下:
表12款过亿下载量应用隐私权限获取情况
四分之三的应用经常获取的权限类型有25种,其中,高敏感权限8种,中敏感权限7种,低敏感权限10种。详见图7:
图7敏感权限图(仅显示3/4以上应用获取的权限)
三、金融类APP的风险成因分析
(一)安全漏洞问题普遍,易被恶意攻击利用
对133327款金融类APP进行扫描,共计检测出1979696条漏洞记录。73.23%的APP存在不同程度的安全风险漏洞,平均每个APP存在20.3个漏洞。
图8不同漏洞数量区间对应的APP分布情况
(二)开发者安全意识弱,缺乏有效安全加固
“加固”是APP安全的重要防护手段,经过安全加固的APP,不仅其系统稳定性得到提升,还能够规避一定程度的风险,是一种不错的自保手段。不法分子不断更新升级的攻击技术,促使应用主体加强对APP的安全巩固。为保证应用安全,应用主体应每隔一段时间进行一次安全加固。
(三)SDK市场缺乏监管以及SDK安全情况
1.SDK概况
目前,有超过60%的SDK含有多种漏洞,且由于SDK被广泛使用到大量的APP中,造成漏洞的影响范围非常大。
其次,SDK普遍存在隐瞒收集用户个人信息的行为。最后,由于目前SDK市场缺乏监管,安全性很难保证,近期通过第三方SDK隐瞒收集个人信息的安全事件不断被曝光。最近ZAO换脸APP就因隐私争议被监管部门约谈。
2.金融类应用SDK类型偏好与其他行业不同
金融行业暂未发现嵌入地图类SDK,相对全行业整体情况而言,SDK类型偏好更为明显。最为偏重的推送类SDK市场占有率高达73.11%,占据七成以上市场份额。其他各类SDK类型市场占有率均不到一成。
图9金融类APP使用的各类SDK市场占有率
(四)APP获权违规普遍,权责监管机制缺失
1.APP隐私安全事件频发
仅广东省公安厅官网今年就先后四次曝光存在安全问题的APP。9月5日曝光的42款存在安全问题的APP名单中,金融类应用有湘财证券、通付MPOS、日照银行、微贷网、鑫汇宝贵金属、口袋贵金属这等6款应用。湘财证券与日照银行无隐私政策,通付MPOS与鑫汇宝贵金属无单独成文的隐私政策。其他超范围获取的权限如下所示:
图10超范围权限图
上个月14日曝光的44款存在安全问题的APP中,金融类有4款,分别为:
小牛在线、急用钱借钱、白鲸信用贷款以及嘉联支付旗下的立刷APP。就隐私政策一项,立刷APP与小牛在线均有问题,前者无隐私政策,后者有用户服务协议,但隐私政策未单列出来。
2.可追溯机制缺乏,权责监管不力
移动应用安全事件频发,归根结底,还是由于权责监管机制不够完善导致。
从立法层面来看:一是目前尚未针对不同行业制定具体、可供遵循的网络数据安全标准规范;二是违法成本及处罚力度过低不够引起重视,多数APP初次曝出安全事件时只是被约谈、要求自查整改,后续再犯的亦有不少,可设立信用记录或黑名单制度逼迫APP主体不得不合理获取使用用户个人信息;
从技术层面来看:一是监管部门缺乏持续性、主动的监管方式方法,现阶段多依靠舆论影响与厂商自觉促使用户个人信息得到合理索取使用;二是应急处置能力有待加强,针对移动终端无法做到安全风险预警响应,不能及时制止影响扩散;
网络数据安全建设绝不仅是满足监管要求,而是切实规避安全风险。在为期一年的行业提升网络数据安全保护能力专项行动大背景下,应避免因推出的APP存在获权隐患而受到牵连。
来源: 新浪财经
关注同花顺财经微信公众号(ths518),获取更多财经资讯
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.souzhinan.com/kj/267717.html