App|金融App安全报告:超9成证券、外汇类App存高危漏洞
_原题为 金融App安全报告:超9成证券、外汇类App存高危漏洞
近日 , 中国信息通信研究院发布《2020年数字金融App安全观测报告》(简称《报告》) 。
《报告》检测了2万余款金融行业App , 超9成App存在安全漏洞 。 与2019年相比 , 流氓行为类恶意程序感染率增长明显 , 广东省受到恶意程序感染的App数量最多 。 在数字金融App侵害用户权益问题上 , 保险类App问题数量最多 。
文章图片
证券、外汇类App存在高危漏洞占比超96%
《报告》对25392款金融行业App进行扫描 , 共有22884款app存在不同程度的安全漏洞 , 占比由2019年的73.23%提升至90.12% , 且高、中、低个等级安全漏洞占比均有明显增长 。
从APP分类角度来看 , 证券类、外汇类App的高危漏洞问题较为突出 , 存在高危漏洞App的比例高达96%以上 。 与2019年观测数据相比 , 银行、消费金融类app的高危占比增长显著 。
文章图片
从高危漏洞类型来看 , 2020年上半年的高危漏洞Top10和2019年的观测结果相比变化不大 。 其中 , 系统键盘使用风险泄露、ZipperDown漏洞和SO文件加固检测漏洞首次出现在Top10 , 并分别占据了第一、第二和第六位 。
其中 , 系统键盘使用风险泄露的app数量占据观测总数的78.52% 。 移动用户在 App 的登录、注册、支付等敏感界面输入信息时 , 使用了不安全的系统键盘 , 存在数据被拦截与监听的风险 , 容易导致账号、密码等敏感数据泄露 , 系统键盘使用风险成为当前App面临的主要安全问题 。
流氓行为恶意程序感染率增长明显
《报告》称 , 在所有被检测的App中 , 共有8563款App存在恶意程序 , 感染率高达29% 。 其中 , 具有流氓行为的恶意程序极为突出 , 占恶意程序总数的93.83% 。
所谓“流氓行为” , 即这类恶意程序对系统没有直接损害 , 但会严重影响用户体验 。 包括但不限于在用户不知情或未授权的情况下 , 自动捆绑安装的;在用户未授权的情况下 , 弹出广告窗口的;执行用户未授权的其他操作等 。
文章图片
值得注意的是 , 与2019年的观测情况相比 , 流氓行为类恶意程序感染率增长明显 , 由82.02%增长到93.92% 。 隐私窃取类和恶意传播类恶意程序感染率有所下降 。
从地域分布来看 , 广东受到恶意程序感染的App数量最多 , 占全部收到恶意程序感染的App总数的45.21% 。
从App细分领域角度来看 , 受到恶意程序感染的App数量前三的类别分别为投资理财、消费金融和数字货币类 , 分别有2586款、1475款、543款 。 同时 , 与2019年的观测数据相比 , 这三类App感染恶意程序的占比均有大幅提升 。
统计、社交、框架和地图类SDK占比提升
随着移动互联网的快速发展 , 越来越多的服务商选择将其服务封装成SDK(软件开发工具包)供开发者使用 。 《报告》称 , 开发者为提升效率、降低成本 , 往往会在开发过程中嵌入第三方SDK 。 但是 , 第三方SDK常存在安全漏洞、恶意程序、个人信息泄露等安全问题 。
【App|金融App安全报告:超9成证券、外汇类App存高危漏洞】《报告》指出 , 有6435款金融行业App嵌入第三方SDK , 占比22.14% 。 这些App共嵌入22818个第三方 , 平均每款App嵌入3.5个 。
文章图片
与2019年相比 , 排名前三的SDK种类并无变化 , 分别是推送类、统计类和社交类 。 但值得注意的是 , 统计类、社交类、框架类和地图类SDK占比均有提升 , 需加强关注相关类别SDK的安全性问题 。
《报告》还指出 , 金融行业 App 开发者对于安全加固的重视程度不足 , 至少进行过一次安全加固的App仅占15.75% , 有超过 8 成的金融行业 App 未进行过安全加固 。
保险类App在侵害用户权益问题上数量最多
针对数字金融App侵害用户权益的问题 , 《报告》对银行、保险、证券各10款 , 共计30款金融行业App进行检测 。 其中 , 保险类App问题数量最多 , 占问题总数的47.06% 。
文章图片
检测发现 , 抽样App中有16款存在“违规收集使用个人信息”的问题 , 有3款存在“超范围收集个人信息”的问题 。 有10款存在“频繁索取权限”的问题 , 3款存在“过度索取权限”;2款存在“强制索取权限”的问题 。
《报告》以某银行类App为例 , 检测发现该应用在启动时 , 必须要授权使用拍摄照片和录制视频权限以及提供位置信息 , 否则无法使用 App 。 但实际上 , 这两项权限并非该 App 正常运行的必要权限 , 涉嫌强制索取权限 。
推荐阅读
- 交巡警|渝北一女子误上机场路,危急情况下民警及时出现护送其安全到家……
- 安全隐患|高速路上惊现一群黑山羊,民警及时处理排除安全隐患
- 家用净水器|家用净水器哪款好?“家庭安全卫士”你还不知道吗
- 消息资讯|华理2019届毕业生丁鹏同学荣获第三届上海市金融硕士优秀论文奖
- 网络安全|“清洁网络”计划危害网络安全(国际论坛)
- 墙脚|吴亦凡退出新说唱,自建嘻哈厂牌!签约辣妈Rapper挖GOSH墙脚?!
- 爱豆APP|201111 易烊千玺舞台上的神错位 拥有“长辫子的”烊宝很可爱哦
- 国标|如何保护网约车的信息安全?“国标”即将出台 开始征求意见
- 冷冻|电装冷链科技助力食药安全
- 数字化|监管“指路”金融数字化转型:警惕市场垄断 加强第三方合作管控