白皮书:93%以上的互联网支付APP存在高危漏洞

导读:据中国信通院新近发布的《中国移动金融应用白皮书》数据显示,在抽样调查中,金融行业APP,70.22%存在高危漏铜,而在细分领域互联网第三方支付的高危漏洞比较突出,高危漏洞占比达到93.87%,为所有细分领域最高。

据白皮书显示,截至 2019 年 6 月,我国网民规模达8.54 亿,较 2018 年底增长 2598 万,互联网普及率达 61.2%,较 2018年底提升了 1.6 个百分点;我国手机网民规模达 8.47 亿,较 2018 年底增长 2984 万,网民使用手机上网的比例达 99.1%,较 2018 年底提升了 0.5 个百分点。

在金融领域,随着移动支付的普及,用户通过智能移动终端进行 投融资、借贷、交易支付等活动愈加频繁,大部分的金融机构平台通 过移动 App 开展业务,移动金融应用的重要性和价值逐渐凸显。移动金融就是将移动性赋予金融服务业,实现金融服务业务移动化。移动 金融包括银行、证券、保险等传统金融服务向移动端的转移,也包括 移动互联网借贷、理财等新兴金融服务。移动金融能有效提升运营效 率,降低管理成本,为客户提供更加便捷、实时、高效的服务。

然而,移动金融应用在给大众生活带来巨大便利的同时,也带来了巨大的安全挑战。

据《全球关键信息基础设施网络安全状况分析报告(2017)》统计,金融行业是国家关键信息基础设施行业中遭受网络攻击最多的行业,移 动金融应用的安全问题亟需关注。

其中以 高危漏洞、恶意程序、违规索权等安全问题最为突出;

以数据泄露为代表的高危漏洞风险

白皮书团队对报告团队对 133327 款金融行业 App 进行扫描,共计检测出1979696 条漏洞记录,涉及 60 种漏洞类型,其中有 21 种为高危漏洞。 金融行业 App 中,73.23%存在不同程度的安全漏洞,70.22%存在高 危漏洞。平均每款金融行业 App 存在 20.3 个安全漏洞,其中 6.7 个 为高危漏洞。

数据来源:中国信通院

从 App 分类角度来看,互联网第三方支付和信托类 App 的高危漏洞问题较为突出,存在高危漏洞 App 的比例 93.87%和 93.44%。保 险、投资理财、外汇等分类的 App 高危漏洞问题也相对严重,存在高 危漏洞的 App 比例超过 85%。

数据来源 :中国信通院

以流氓行为为代表的恶意程序风险

经报告团队使用的恶意程序检测系统检测发现,共有 8217 款金 融行业 App 被检测出含有恶意程序,恶意程序感染率为 6.16%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送 等多种恶意行为,对移动用户的个人信息及财产安全带来巨大威胁。

从恶意程序类型来看,有82.02%的 App 已经受到具有流氓行为的恶意程序感染,这类恶意程 序会在用户未授权的情况下,弹出广告窗口等,不仅影响用户使用体 验,而且如用户误触点击可能带来进一步隐私风险和安全问题;9.10% 的 App 受到具有信息窃取行为的恶意程序感染,这类恶意程序会窃 取用户短信、通讯录、通话记录、位置等敏感信息,导致用户信息泄 露;5.25%的 App 受到具有恶意传播行为的恶意程序感染,这类恶意 程序的特征是在用户不知情或未授权的情况下,将自身、自身的衍生物或其它恶意程序扩散到正常设备。

数据来源:中国信通院

从 App 细分领域角度来看,受到恶意程序感染的 App 数量前三的类别分别为消费金融类、彩票类、P2P 金融类 App,分别有 4166款、2378 款、949 款 App 已经受到恶意程序感染。而从各个分类受到 恶意程序感染的 App 比例来看,消费金融类、彩票类、P2P 金融类受 到恶意程序感染的比例相对较高,均超过 6%。

数据来源:中国信通院

违规索权带来的隐私泄露风险

敏感权限获取和隐私信息泄漏是近年来 App 安全关注和防范的重点。App 索取用户设备的敏感权限和用户的隐私信息,可能导致用户设备被植入恶意程序、用户账户和隐私信息泄露等一系列安全风险。 本次调研抽样选取了 12 款下载量过亿的典型金融行业 App,分别对 敏感权限的获取情况和在隐私政策方面存在的问题进行了分析,发现 多款 App 存在不同程度的超范围索取用户权限的情况,在隐私政策 方面也存在多种违法违规行为,给用户个人隐私信息安全带来了隐患。

超范围获取敏感权限

研究发现,12 款 App 均存在不同程度的超范围权限采集现象。 这些 App 共获取了 29 种高敏感权限、15 种中敏感权限、33 种低敏感权限。

9 款及 9 款以上的应用获取的权限类型有 25 种,其中,高敏感权限 8 种,中敏感权限 7 种,低敏感权限 10 种。

由上表可知,所有 App 均获取两项高敏感权限,一是获取了“READ_PHONE_STATE”读取手机状态和身份权限,有此权限的应 用 允 许 访 问 设 备 的 任 意 手 机 功 能 ; 二 是 获 了“WRITE_EXTERNAL_STORAGE”写入外置存储器权限,有此权限 的应用可以修改或删除存储卡中的内容。全国信息安全标准化技术委 员会于 2019 年 6 月发布的《网络安全实践指南——移动互联网应用 基本业务功能必要信息规范》明确规定,金融行业 App 基本业务功能 收集的必要信息包括:“手机号码”、“账号信息”、“身份信息”、 “银行账户信息”、“个人征信信息”、“紧急联系人信息”以及“借 贷交易记录”7 项内容。应用程序访问设备的手机功能及修改或删除 存储卡中的内容涉嫌超范围获取权限。

此外,App 惯常获取的高敏感权限还包括:发起电话呼叫、录制 音频、拍摄照片和录制视频、读取系统日志等,给用户隐私带来巨大安全隐患。

总结:

据 App Annie 发布的《2019 年移动市场报告》数据显示,2018 年全球移动应用下载量 1940亿,其中我国的移动应用下载量占比将近 50%,是目前全球移动应用下载量最大的国家 。

在金融领域, 随着移动支付的普及, 用户通过智能移动终端进行投融资、借贷、交易支付等活动愈加频繁,大部分的金融机构平台通过移动 App 开展业务, 移动金融应用的重要性和价值逐渐凸显。

移动金融应用在给大众生活带来巨大便利的同时,也带来了巨大的安全挑战。

导读:据中国信通院新近发布的《中国移动金融应用白皮书》数据显示,在抽样调查中,金融行业APP,70.22%存在高危漏铜,而在细分领域互联网第三方支付的高危漏洞比较突出,高危漏洞占比达到93.87%,为所有细分领域最高。

据白皮书显示,截至 2019 年 6 月,我国网民规模达8.54 亿,较 2018 年底增长 2598 万,互联网普及率达 61.2%,较 2018年底提升了 1.6 个百分点;我国手机网民规模达 8.47 亿,较 2018 年底增长 2984 万,网民使用手机上网的比例达 99.1%,较 2018 年底提升了 0.5 个百分点。

在金融领域,随着移动支付的普及,用户通过智能移动终端进行 投融资、借贷、交易支付等活动愈加频繁,大部分的金融机构平台通 过移动 App 开展业务,移动金融应用的重要性和价值逐渐凸显。移动金融就是将移动性赋予金融服务业,实现金融服务业务移动化。移动 金融包括银行、证券、保险等传统金融服务向移动端的转移,也包括 移动互联网借贷、理财等新兴金融服务。移动金融能有效提升运营效 率,降低管理成本,为客户提供更加便捷、实时、高效的服务。

然而,移动金融应用在给大众生活带来巨大便利的同时,也带来了巨大的安全挑战。

据《全球关键信息基础设施网络安全状况分析报告(2017)》统计,金融行业是国家关键信息基础设施行业中遭受网络攻击最多的行业,移 动金融应用的安全问题亟需关注。

其中以 高危漏洞、恶意程序、违规索权等安全问题最为突出;

以数据泄露为代表的高危漏洞风险

白皮书团队对报告团队对 133327 款金融行业 App 进行扫描,共计检测出1979696 条漏洞记录,涉及 60 种漏洞类型,其中有 21 种为高危漏洞。 金融行业 App 中,73.23%存在不同程度的安全漏洞,70.22%存在高 危漏洞。平均每款金融行业 App 存在 20.3 个安全漏洞,其中 6.7 个 为高危漏洞。

数据来源:中国信通院

展开全部内容