近日,中国信息通信研究院发布《2019年金融行业移动app安全观测报告》(简称《报告》)。由此可见,app开发有着强有力的发展脉搏,是行业发展不可或缺的动力源泉。
《报告》检测了13万余款金融行业app,其中七成存在高危漏洞。在抽查的12款下载量过亿的app中,四大银行均存在超范围获取权限的情况。
7成多app存在高危漏洞
《报告》对133327款金融类app进行了测评,涉及消费金融类、彩票类、p2p金融类等13类。
在所有app中,共检测出近200万条漏洞记录,逾七成存在高危漏洞。平均每款app存在203个安全漏洞,包括67个高危漏洞。
从app分类来看,互联网第三方支付和信托类app的高危漏洞问题较为突出,存在高危漏洞app的比例为9387%和9344%。保险、投资理财、外汇等分类的app高危漏洞问题也相对严重,存在高危漏洞的app比例超过85%。
《报告》称,攻击者可利用这些漏洞窃取用户数据、进行app仿冒、植入恶意程序、攻击服务等,对app安全具有严重威胁。其中,排名前三的高危漏洞均存在导致app数据泄露的风险,比如账号密码、短信内容等被窃取。
金融、彩票、p2p类app被恶意程序感染最多
《报告》指出,在所有被检测的app中,共有8217款被检测出恶意程序,感染率为616%。在被感染的app中,8202%的app被具有流氓行为的恶意程序感染,可在用户未授权的情况下,弹出广告窗口等;91%的app受到具有信息窃取行为的恶意程序感染,这些恶意程序可窃取用户短信、通讯录、位置信息等敏感信息。
app恶意程序类型分布情况。
从app分类来看,金融类、彩票类和p2p类被恶意程序感染的最多,分别有有4166款、2378款、949款。
四大银行app涉嫌超范围获取权限
近来,敏感权限和隐私信息泄露是app安全防范关注的焦点。《报告》指出,此次调研对12款下载量过亿的app进行敏感权限获取情况和隐私政策方面存在的问题进行了分析。
结果显示,包括中国建设银行、中国交通银行、中国银行、中国工商银行、中国农业银行等在内的12款app均存在不同程度超范围获取权限的情况。它们惯常获取的高敏感权限包括读取录制音频、拍摄照片和录制视频、读取系统日志等。
调研的12款app隐私权限获取情况。
在隐私条款中,一些app存在不合理的条款。比如某app要求用户注销账户时提供身份证正反面照片、手持身份证上半身照片、需注销的手机号及手机营业厅个人信息页面截图等。
《app违法违规收集使用个人信息自评估指南》规定,app应支持用户注销账号,且不得收集与业务功能无关的个人信息。《报告》指出,上述app的注销要求不仅增加了注销难度,还违规获取个人隐私。文章来源: