2019年移动金融应用安全研究报告.docx

2019年移动金融应用安全研究报告 目 录 一、移动金融应用的安全背景 . 1 （一）移动互联网高速发展 . 1 （二）移动应用监管政策日趋严格 . 3 （三） 5G 时代移动金融应用发展 . 8 二、移动金融应用的分布情况 . 10 （一）移动金融应用的地域分布不均 . 10 （二）移动金融应用的应用市场集中度高 . 11 （三）借贷领域移动应用持续发展占据半数市场 . 11 （四）典型细分行业移动应用分布情况 . 12 三、移动金融应用的安全风险 . 17 （一）以数据泄露为代表的高危漏洞风险 . 17 （二）以流氓行为为代表的恶意程序风险 . 19 （三）使用第三方 SDK 引入安全风险 . 21 （四）违规索权带来的隐私泄露风险 . 23 （五）安全加固不足带来的安全风险 . 32 四、移动金融应用安全创新思路 . 36 （一）以移动金融应用安全为核心的整体设计 . 36 （二）建设符合监管发展的合规检测能力 . 37 （三）全生命周期的移动金融应用安全防护策略 . 38 （四）主动风险感知替代被动响应的防御思维 . 39 五、移动金融应用安全前景展望 . 42 （一）安全政策频出，移动应用安全与基础设施安全齐头并进 . 42 （二）合规升级合法，移动金融应用隐私数据安全市场火热 . 42 （三）感知技术升级，驱动安全业务智能创新 . 43 附录 A 金融行业 APP 地域分布表 . 44 附录 B 金融行业 APP 分类逻辑及典型应用 . 46 附录 C TOP10 高危漏洞说明 . 49 附录 D APP 恶意程序类型解释 . 52 附录 E 受到恶意程序感染的 APP 地域分布表 . 53 1 一、移动金融应用的安全背景 （一）移动互联网高速发展 据中国互联网络信息中心 （ CNNIC） 发布的第 44 次中国互联 网络发展状况统计报告显示，截至 2019 年 6 月，我国网民规模达 8.54 亿，较 2018 年底增长 2598 万，互联网普及率达 61.2%，较 2018 年底提升了 1.6 个百分点；我国手机网民规模达 8.47 亿，较 2018 年 底增长 2984 万，网民使用手机上网的比例达 99.1%，较 2018 年底提 升了 0.5 个百分点，具体数据如图 1 所示。与五年前相比，移动宽带平均下载速率提升约 6 倍，手机上网流量资费水平降幅超 90%。 “提速降费 ”推动移动互联网流量大幅增长，用户月均使用移动流量达 7.2 GB，为全球平均水平的 1.2 倍；移动互联网接入流量消费达 553.9 亿 GB，同比增长 107.3%。以手机为中心的智能设备，成为 “万物互联 ”的基础，车联网、智能家电促进 “住行 ”体验升级，构筑个性化、智能化应用场景。移动互联网服务场景不断丰富、移动终端规模加速提 升、移动数据量持续扩大，为移动互联网产业创造更多价值挖掘空间。 2 数据来源： CNNIC 中国互联网络发展状况统计调查 图 1 手机网民规模及其占网民比例 截至 2019 年 10 月，我国本土市场上监测到的移动应用程序 （ App） 在架数量为 525 万款，基于安卓系统的第三方应用商店安卓移动应用数量超过 286 万款，占比为 54.4%，苹果商店 （ 中国区 ） 移动应用数量约 239 万款，微信小程序 57 万款，微信公众号 44 万个。具体数据 如图 2 所示。 数据来源：北京智游网安科技有限公司（爱加密） 图 2 中国市场移动 App 数量统计 3 截至 2019 年 10 月，游戏类应用数量约 141 万款，占比达 50%； 生活服务类应用规模达 54.2 万款，排名第二，占比为 19%；电子商务类应用排名第三，规模为 42.1 万款，占比为 15%，金融行业相关移动应用达到 13.3 万款，成为应用市场中极具分量的专项类别。具 体数据如图 3 所示。 数据来源：北京智游网安科技有限公司（爱加密） 图 3 中国市场移动应用类型统计 （二）移动应用监管政策日趋严格 1. 金融监管部门发布多项规定保障 App 安全 近年来，金融科技行业安全整体态势稳定，监管框架逐步完善。中国金融科技行业的发展已从单纯的市场开拓阶段进入到了基于安 4 全风险防范的发展阶段。未来 ,随着监管框架与安全意识进一步提高， 金融科技行业的安全性将进一步提升，整个行业也将实现平稳增长。 2017 年 6 月，中国人民银行印发了中国金融业信息技术 “ 十三五 ” 发展规划，确立了 “ 十三五 ” 期间金融业信息技术工作的发展 目标，提出将健全网络安全防护体系，增强安全生产和安全管理能力作为重点任务之一，要求不仅要提高金融信息系统安全生产能力，提 高金融网络安全管理水平，还要全面推进金融业落实中华人民共和 国网络安全法 （以下简称网络安全法） 。 2019 年 3 月，中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知发布，提出健全紧急止付和快速冻结机制，加强账户实名制管理等要求，抑制金融欺诈等犯罪活动的发生。 2019 年 8 月 22 日，中国人民银行印发金融科技 (FinTech)发展规划 (2019-2021 年 ) （ 以下简称规划 ） ，明确提出未来三年金融科技工作的指导思想、基本原则、发展目标、重点任务和保障措施。 规划在提升金融业务风险防范能力上，明确提出组织建设统一的金融风险监控平台，引导金融机构加强金融领域 App 与门户网站实名制和安全管理，增强网上银行、手机银行、直销银行等业务系统的安全监测防护水平，提升对仿冒 App、钓鱼网站的识别处置能力。 移动金融应用相关法律法规的密集颁布和出台，体现了政府对保 5 障移动金融 App 网络安全的重视和治理移动金融 App 网络安全的决心，也反映出当前移动金融 App 安全面临着严峻的形势。 2. 等保 2.0 对移动金融应用安全提出新要求 2019 年 5 月 13 日，公安部正式发布信息安全技术 网络安全等级保护基本要求等系列国家标准 （ 以下简称 “ 等保 2.0” ），标志着 “等保 2.0”时代正式到来。等保 2.0 系列国家标准的发布，对加强我国网络安全保障工作，提升网络安全保护能力具有重要意义。 移动互联安全作为网络安全等级保护技术体系的一个重要内容， 近年来逐渐成为大众关注的焦点。网络安全等级保护基本要求 移动互联安全扩展要求从技术要求和管理要求两个维度对采用移动 互联技术的等级保护对象如何进行定级和有效防护进行了明确描述。以一个三级移动互联系统为例，系统既要满足三级的安全通用要求， 又 要满足三级的移动互联安全扩展要求。移动互联部分通常由移动终 端、移动应用和无线网络三部分组成。移动性和便捷性是采用移动互 联技术等级保护的企业与传统等级保护企业的最大区别，移动终端可 以远程通过运营商基站或公共 Wi-Fi 接入等级保护企业，也可以通过本 地无线接入设备接入等级保护企业。与传统信息系统相比，采用移 动 互联技术的系统将面对更大的攻击面。因此，对移动互联环境主要 增 加包括 “无线接入点的物理位置 ”、 “移动终端管控 ”、 “移动应用管控 ”、 “移动应用软件采购 ”和 “移动应用软件开发 ”等方面要求。等保 2.0 移 6 动互联安全扩展要求针对移动终端、移动应用和无线网络部分提出特殊安全要求，与安全通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求。 网络安全法和等保 2.0 系列国家标准的出台，对整体互联网环境、移动金融 App 安全建设工作的稳步推进提供了催化剂。移动金融 App 企业应该切实落实相应的法律法规，从技术和管理两方面着手，打造绿色的网络环境。 3. 移动 App 个人信息安全成监管重点 针对移动 App 安全及个人信息安全问题，国家、行业主管部门等相关单位陆续出台了多项法律法规和标准规范，用于净化移动 App 个人信息安全市场。 网络安全法的第 41 条至 43 条明确规定了个人信息和个人隐私保护方面的内容，规定网络运营者收集、使用个人信息时，应当遵循相关的法律法规，并经被收集者同意。 2018 年 5 月 1 日，全国信息安全标准化技术委员会发布 GB/T 35273-2017 信息安全技术个人信息安全规范，针对个人信息面临的安全问题 ,规范个人信息控制者在收集、保存、使用、共享、转让、公 开披露等信息处理环节中的相关行为 ,旨在遏制个人信息非法 收集、滥用、泄漏等乱象的发生 ,最大程度地保障个人的合法权益和社会公共利益。 7 2019 年 1 月 25 日，中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布关于开展 App 违法违规收集使用个 人信息专项治理的公告，成立 App 专项治理工作组，在全国范围内 组织开展 App 违法违规收集使用个人信息专项治理行动。 3 月 1 日， App 专项治理工作组发布 App 违法违规收集使用个人信息自评估指南，对 App 的隐私政策文本、 App 收集使用个人信息行为、 App 运营者对用户权利的保障等合计 32 个评估点和评估标准作出定义。 3 月15 日，中央网信办、市场监管总局正式对外发布公告，将依据移动 互联网应用程序 （ App） 安全认证实施规则开展 App 安全认证工作。 5 月 5 日， App 专项治理工作组起草了 App 违法违规收集使用个人信息行为认定方法 （ 征求意见稿 ） （ 以下简称认定方法 ） ，并在其官网和公众号公开，向社会各界公开征求意见，认定方法明确界定了 App 收集使用个人信息方面的违法违规行为，为 App 运营者自查自纠提 供指引，为 App 评估和处置提供参考。 2019 年 6 月 1 日，全国信息安全标准化技术委员会发布移动互联网应用基本业务功能必要信息规范，针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息安全问题，结合当前移动互联网技术及应用现状，围绕用户数据量大、社会关注度 高的移动互联网应用基本业务功能，给出了保障其正常运行需收集的 个人信息的最小范围。