现在，无论是借钱、投资还是交易支付，大家用金融类 App 的频率大大增加，这些和“钱”有关的 App 到底安全性几何？最近，中国信通院发布了一份《2019 金融行业移动 App 安全观测报告》。截止 2019 年 9 月 11 日，中国信通院的报告团队从 232 个安卓应用市场中收录了 133327 款金融行业 App。

** **

从观测对象的地域分布来看，有 130022 款可以明确归属省份，全国 34 个省级行政区均有金融行业 App 生成，平均每个省份生成金融行业 App3824 款。 金融行业 App 地域分布不均，广东、湖北和北京分别以 29.60%、21.30% 和 12.96% 的高占比排名金融行业 App 生成数量前三 , 而西藏、青海等 6 省份总占比仅有 0.18%。

从金融行业 App 细分领域来看，借贷类 App 包揽前三名中的两个席位。其中，面向个人用户的消费金融类 App 数量最多，占观测总数的 36.74%；面向企业的 P2P 金融类 App 排名第三，占观测总数的 11.38%；彩票类 App 排名第二，占观测总数的 27.19%。

不同细分领域 App 占比如图所示：

重头戏来了，这些金融 App 的风险集中表现在哪里？

1. 以数据泄露为代表的高危漏洞风险

在本次观测中，发现有 70.22% 的金融行业 App 存在高危漏洞，攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等 , 对 App 安全具有严重威胁。其中 Top3 的高危漏洞均存在导致 App 数据泄露的风险。

2. 以流氓行为代表的恶意程序感染风险

本次观测发现，共有 8217 款金融行业 App 被检测出恶意程序，感染率为 6.16%，主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为，给 App 用户的个人隐私及财产安全带来危害。其中受到流氓行为恶意程序感染的 App 占比最多，约为 82.02%。

** **

3. 使用第三方 SDK 引入安全风险

本次观测发现，共有 20.48% 的金融行业 App 被嵌入了第三方 SDK，嵌入的 SDK 数量共计高达 104005 个。在嵌入 SDK 的金融行业 App 中，有 45% 的 App 嵌入了 5 个及以上的 SDK。由于第三方 SDK 存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险， 使得金融行业 App 也面临一定的安全隐患。

4. 违规索权带来的隐私泄露风险

本次观测中选取了具有典型代表性的 12 款下载量过亿的金融行业 App 进行抽样分析经研究发现，多款 App 存在不同程度的超范围索取用户权限的情况，在隐私政策方面也存在多种违法违规行为，给用户个人隐私信息安全带来隐患。App 用户的个人隐私信息一旦泄露，将带来严重的后果，如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等，会严重损害 App 用户的利益。

** **

5. 安全加固不足暴露安全风险

本次观测发现，仅有 17.08% 的金融行业 App 进行了安全加固，超过 80% 的金融行业 App 在应用市场“裸奔”，未进行任何的安全加固。然而 , 基于 Java 语言编写的安卓应用程序如不进行加固，则其打包的 APK 文件很容易被反编译工具进行逆向分析，进而暴露风险。

文章来源：cnBeta

猜你喜欢

黑客从电商平台“偷”200 万条个人信息被抓

两万多条上市公司高管信息被打包出售，价格比窝窝头还低！

一个 app 解锁全部共享单车？黑客团伙“偷走”3 亿

蓝蓝以身践行，漂亮小姐姐找你借钱？不借！

黑客竟然利用漏洞操控 67 万台计算机？逮捕！

小学生发现刷脸取件 bug 丰巢紧急下线人脸开锁功能

扫码住酒店“被入会”，华住集团收集顾客信息，细思极恐！

大学生黑入网站售卖他人信息，警方：我们来了！

小心！这 21 个年轻人，盗走了全国 500 多万人的个人信息

男子在闲鱼上卖淫秽视频 网友买后认为有伤网络风气报警

长按关注 >>>

盘它

文章投稿 / 商务合作

广告投放 / 申请入群

你点的每个赞，我都认真当成了喜欢