本文来源:爱加密123

近日，中国信通院发布了 《2019金融行业移动App安全观测报告》， 爱加密为其提供了相应的技术支撑工作 。 本次观测行动集中观测了金融行业中基于安卓系统的移动应用，共涉及232个应用市场收录的133327款金融行业App。从观测对象地域分布来看，广东、湖北、北京金融App数量占比前三。本次观测中，还发现70.22%的金融行业App存在高危漏洞。

由于移动App网络安全相关的法律法规和标准规范体系不完善，给不法分子带来可乘之机；安卓第三方应用商店繁多，App上线审核不规范，管理不严格情况时有发生；部分金融行业App开发者安全意识淡薄，技术手段落后，开发流程不规范，更新修复不及时等问题严重；App用户缺乏安全意识，不良的App使用习惯等，诸如此类问题带来了安全隐患。

研究发现，金融行业App的安全风险集中体现在以下五个方面， 一是高危漏洞普遍存在，二是恶意程序问题严峻，三是使用SDK引入风险，四是违规索权侵犯隐私，五是缺乏有效安全加固。

1.以数据泄露为代表的高危漏洞风险

在本次观测中，发现有 70.22%的金融行业 App 存在高危漏洞，攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等，对 App 安全具有严重威胁。其中 Top3 的高危漏洞均存在导致 App 数据泄露的风险。

13万+金融行业App共检测出 1979696条 漏洞记录，涉及 60种 漏洞类型， 73.23% 存在不同程度的安全漏洞， 70.22% 存在高危漏洞，平均每款金融行业App存在 20.3个 安全漏洞，其中 6.7个 为高危漏洞。

2.以流氓行为代表的恶意程序感染风险

本次观测发现，共有 8217 款金融行业 App 被检测出恶意程序，感染率为 6.16%，主要涉及的恶意行为包括 流氓行为、信息窃取、恶意传播、资费消耗、远程控制 等多种恶意行为，给 App 用户的个人隐私及财产安全带来危害。其中受到流氓行为恶意程序感染的 App 占比最多，约为 82.02%。

3.使用第三方 SDK 引入安全风险

本次观测发现，共有 20.48%的金融行业 App 被嵌入了第三方SDK，嵌入的 SDK 数量共计高达 104005 个。在嵌入 SDK 的金融行业App 中，有 45%的 App 嵌入了 5 个及以上的 SDK。 由于第三方 SDK 存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险， 使得金融行业 App 也面临一定的安全隐患。

据爱加密发布的《全国移动应用SDK市场占有率分析报告》统计 ，有超过60%的SDK含有多种漏洞， 且由于SDK被广泛使用到大量App中，漏洞造成的影响范围极广。不法分子可以通过制作、发布、吸引App开发者嵌入含有恶意代码的SDK，造成短时间、大范围的恶意程序传播和感染，且此类恶意程序具有很强的隐蔽性和对抗杀毒软件的能力。SDK作为独立的软件开发工具包，具有收集个人信息的能力，但SDK收集哪些个人信息，用户往往难以感知，甚至App开发者也未必知晓，给用户个人信息安全带来严重威胁。

4.违规索权带来的隐私泄露风险

本次观测中选取了具有典型代表性的 12 款下载量过亿的金融行业 App 进行抽样分析经研究发现，多款 App 存在不同程度的超范围索取用户权限的情况，在隐私政策方面也存在多种违法违规行为，给用户个人隐私信息安全带来隐患。App 用户的个人隐私信息一旦泄露，将带来严重的后果，如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等，会严重损害 App 用户的利益。

5.安全加固不足暴露安全风险

本次观测发现，仅有 17.08%的金融行业 App 进行了安全加固， 超过 80%的金融行业 App 在应用市场“裸奔”， 未进行任何的安全加固。然而，基于 Java 语言编写的安卓应用程序如不进行加固，则其打包的 APK 文件很容易被反编译工具进行逆向分析，进而暴露风险。

安全加固是维护App安全的重要防护手段， 爱加密作为移动信息安全综合服务提供商，针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险，通过领先的第六代加密技术，可为金融行业App提供安全加固服务。

除此之外，爱加密还将联合社会各界力量，相关行业主管部门、应用商店运营者、App开发者、App使用者等，共同促进金融行业App的持续合规， 降低金融行业App安全风险，保障移动应用个人信息安全。

标签： 移动安全