2020年数字金融App安全观测报告.pdf

数字金融App安全观测报告（2020年） 中国信息通信研究院安全研究所 北京智游网安科技有限公司 2020年10月 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院”。违反上述声明者，本院将追究其相关法律责任。 前 言 新型冠状病毒肺炎疫情发生以来，为疏解因疫情冲击造成线下业务难以开展的难题，金融机构大力推进数字化转型，从而促进了数字金融 App 的进一步应用和普及。然而， App 在给大众生活带来巨大便利的同时，也带来了相应的安全隐患。 为了进一步贯彻落实习近平总书记网络强国的战略思想，助力金融行业的平稳安全发展，中国信息通信研究院金融科技安全实验室联合北京智游网安科技有限公司组成研究团队，在有关部门的指导下，依据相关法律法规和文件精神，对基于安卓系统的数字金融App 的安全现状进行 了观测分析，形成本 报告。 本报告研究团队 升级了 2019 金融行业移动 App 安全观测报告的技术手段和分析维度，经过持续半年的观测，对 2020 年上半年数字金融 App 存在的 高危漏洞、恶意程序、使用 SDK 引入风险以及缺乏有效安全加固等四类主要风险变化情况进行了对比分析，并在工业和信息化部关于开展纵深推进 App 侵害用户权益专项整治行动的通知等顶层设计的文件精神与工作指南的指导下，围绕数字金融 App“侵害用户权益”等问题进行了抽样检测与安全研究。 本报告旨在通过对数字金融 App 进行持续 、全面 、客观的 安全观测与风险分析，为相关监管部门、App 开发运营者 、 应用 分发平台和用户提供数字金融 App 安全工作的思路与建议， 共同 促进数字金融 App 的网络安全生态体系建设。 目 录 一、数字金融 App 安全观测背景 . 1 （一）移动应用安全的政策背景 . 1 （二）数字金融 App 的安全现状 . 3 二、数字金融 App 安全观测结果 . 5 （一）观测对象分布情况 . 5 （二）安全风险对比分析 . 6 三、数字金融 App 侵害用户权益专项检测结果 . 15 （一）违规处理用户个人信息 . 16 （二）设置障碍、频繁骚扰用户 . 17 （三）应用分发平台责任落实不到位 . 20 四、数字金融 App 的安全工作思路与建议 . 21 （一）App 相关监管部门 . 21 （二）App 开发运营者 . 21 （三）App 应用分发平台 . 22 （四）App 用户 . 22 附录 A 数字金融 App 地域分布表 . 24 附录 B Top10 高危漏洞说明 . 25 附录 C App 恶意程序类型说明 . 27 附录 D 受恶意程序感染的数字金融 App 地域分布表 . 28 图 目 录 图 1 App 区域分布 Top10 . 5 图 2 不同细分领域 App 数量及占比 . 6 图 3 金融行业 App 各等级漏洞情况 . 6 图 4 不同细分领域高危漏洞 App 占比情况 . 7 图 5 高危漏洞类型分布 Top10 . 8 图 6 App 恶意程序类型占比情况 . 9 图 7 受到恶意程序感染的 App 区域分布 Top10 . 10 图 8 各细分领域受到恶意程序感染的 App 分布情况 . 10 图 9 各细分领域受到恶意程序感染的 App 占比情况 . 11 图 10 不同 SDK 个数区间对应的 App 分布情况 . 12 图 11 金融行业 App 使用的各类 SDK 占比情况 . 12 图 12 不同加固厂家服务的 App 分布 . 13 图 13 加固 App 地域分布 Top10 . 14 图 14 各金融细分领域 App 加固分布情况 . 14 图 15 抽样 App 检测发现问题数量占比 . 15 图 16 某保险类 App 超范围收集个人信息 . 17 图 17 某银行类 App 频繁索取权限 . 18 图 18 某保险类 App 过度索取权限 . 19 图 19 某银行类 App 强制索取权限 . 20 图 20 某应用分发平台收录的某银行类 App 存在恶意程序 . 20数字金融 App 安全观测报告（ 2020 年） 1 一、数字金融App安全观测背景 （一）移动应用安全的政策背景 近年来， 随着 新一代信息技术的蓬勃发展，网络空间在促进社会和经济发展，保障和改善民生方面发挥着越来越重要 的作 用，网络空间安全在迎来 前所未有的发展机遇的同时，也面临着日趋严峻的风险挑战。自十八大以来，以习近平同志为核心的党中央和国务院高度重视网络安全，并形成网络强国的战略 思想。习近平总书记指出，“没有网络安全 就没有国家安全”，将网络安全的重要性提升至国家战略层面。 2019 年，中央网信办、工业和信息化部、公安部、国家市场监督管理总局等行业监管部门重拳出击，对 App 违法违规收集使用个人信息行为采取“零容忍” 政策 ，成立专项组开展专项治理行动，陆续“点名”几个批次的违规违法 App，责令违规 App 进行整 改，体现了监管部门对综合治理 App 网络安全的 决心。 2019 年 11 月，中国人民银行发布了关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知（银发 2019 237 号 ），并随通知发布了移动金融客户端应用软件安全管理规范，要求各金融机构提升客户端软件的安全防护能力，加强个人金融信息保护，提高风险监测能力，健全投诉处理机制等。 2019 年 12 月，国家互联网信息办公室、工业和信息化部 、公安部、国家市场监督管理总局四个部门联合印发App 违法违规收集使数字金融 App 安全观测报告（ 2020 年） 2 用个人信息行为认定方法 ， 为监督管理部门认定 App 违法违规收集使用个人信息行为提供依据，为 App 运营者自查自纠和网民社会监督提供指引 。 2020 年 2 月，中国人民银行发布了个人金融信息保护技术规范，要求与个人金融信息相关的客户端应用软件及应用软件开发工具包（ SDK）应符合移动金融客户端应用软件安全管理规范 网上银行系统信息安全通用规范客户端应用软件有关安全技术要求，并在上线前进行安全评估。 2020 年 4 月，中国人民银行办公厅发布了关于开展金融科技应用风险专项摸排工作的通知（银办发2020 45 号），要求各地人民银行分支机构及相关监管机构依据相关法律制度、标准规范开展专项摸排工作 ，“ 移动金融客户端应用软件”成为主要摸排对象之一。 2020 年 7 月，工业和信息化部印发关于开展纵深推进 App 侵害用户权益专项整治行动的通知（工信部信管函 2020164 号），决定深入推进技管结合，加强监督检查，通过专项整治行动切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境。 2020 年 9 月，全国信息安全标准化技术委员会先后发布 移动互联网应用程序（ App）系统权限申请使用指南移动互联网应用程序（ App）个人信息保护常见问题及处置指南等一系列 网络安全标准实践指南，进一步帮助 App 运营者 规范 App 申请使用系统权限行为，采取相应措施持续提升 App 个人信息保护水平，为用户营造数字金融 App 安全观测报告（ 2020 年） 3 绿色、安全、可信的 App 使用环境。 App 网络安全 及 个人 信息保护相关政策 法规和标准规范的密集出台，体现了政府相关部门对于保障 App 网络安全的重视和治理 App安全风险的决心，也侧面反映出当前 App 网络 安全面临的严峻形势 。 （二）数字金融App的安全现状 近年来，随着 移动互联网的快速发展和移动支付的广泛 普及，移动互联网应用程序（App ）已经深入应用到大众生活的方方面面 ，并发挥着不可或缺的重要作用。据中国互联网络信息中 心（ CNNIC）发布的第 46 次 中国互联网络发展状况统计报告显示，截至 2020 年6 月，我国手机网民规模已达 9.32 亿，网民使用手机上网的比例高达99.2%。 新型冠状病毒肺炎疫情发生以来，为保证国民经济运行平稳发展，相关金融监管部门多次强调加强线 上业务服务，大 力倡导金融机构业务数字化转型， 鼓励金融 机构 引导 企业和个人客户通过互联网、App 等线上方式办理金融业务，以疏解因疫情冲击造成线下业务难以开展的难题，从而促进了金融行业 App 的进一步应用和普及 。 然而，App 在给大众生活带来巨大便利的同时，也带来了相应的安 全隐患。 近两年， App 安全已成为多方关注的重点，各监管部门正加紧完善 App 网络安全相关的法律法规和标准 规范体系，对企业监督执法力度持续加强，但 数字金融 App 的安全形势依然严峻。某些第三方应用分发平台管理存在漏洞，对 App 上线审核不规范的情况时有发生；部分金融行业 App 开发 运营者法律意识和安全意识淡薄，未对数字金融 App 安全观测报告（ 2020 年） 4 App 进行安全加 固，或者技术手段落后， 为了提升效率、降低成本，往往会在开发过程中嵌入第三方 SDK，导致 App 存在高危漏洞或恶意程序等风险； 部分 App 用户缺乏安全意识， 未主动采取安全防护，或存在不安全的使用习惯， 往往会带来 信息泄露等安全隐患 。据 国家互联网应急中心（CNCERT ）发布的 2019 年中国互联网网络安全报告显示， 2015-2019 年移动互联网恶意程序样本数量持续高速增长，2019 年新增移动互联网恶意程序样本数量为 279 万余个，安卓平台用户成为最主要的攻击对象。 为了进一步贯彻落实习近平总书记网络强国的战 略思想，助力新冠肺炎疫情影响下 金融行业的平稳安全发展，中国信息通信研究院金融科技安全实验室组织对基于安卓系统的数字金融 App 的安全情况进行了观测 分析，形成本报告。报告对 2020 年上半年数字金融 App的安全风险 问题 现状 及变化趋势进行了重点分析和研究，并在工业和信息化部关于开展纵深推进 App 侵害用户权益专项整治行动的通知等顶层设计的文件精神与工作指南的指导下，围绕数字金融 App“侵害用户权益”等问题进行了抽样检测与安全研究，为金融行业相关监管部门 、 App 开发运营者、应用 分发平台和 App 用户 掌握金融App 安全 态势和评估 金融 App 安全风险 提供参考 。 数字金融 App 安全观测报告（ 2020 年） 5 二、数字金融App安全观测结果 （一）观测对象分布情况 截至 2020 年 6 月 30 日，报告团队对从 842 个安卓 应用市场中收录的 29065 款金融行业 App 进行了安全观测。 从观测对象的地域分布来看，有 27883 款可以明确所归属的省份，全国 34 个省级行政区均有金融 行业 App 发布 （若 App 无运营、无开发主体，则按其应用分发平台所属区域确定其归属省份，详细数据参见附录 A），平 均 每 个省份 含金融行业 App 820 款。金融行业 App数量在地域分布 显著 不均，广东、湖北和北京分别以 35.21%、 21.91%和 8.37%的高占比排名前三，而占比最少的西藏、 宁夏、青海等 6 省份总占比仅有 0.37%，具体数据如图 1 所示。 图 1 App 区域分布 Top10 从金融行业 App 细分领域来看，投资理财类 App 数量最多，占观测总数的 46.04%；消费金融类 App 排名第二，占比 17.15%； 证券类 App 排名第三， 占比 8.97%。具体数据如图 2 所示。