移動金融應用安全白皮書.pdf

版權聲明 本白皮書 版權屬于 中國信息通信研究院 云計算與大數據研究所和 安全研究所 ，并受法律保護 。 轉載、摘編或利用其它方式使用 本白皮書文字或者觀點的，應 注明 “ 來源 移動金融應用安全白皮書 （ 2019 年 ） ” 。違反上述聲明者，本 院 將追究其相關法律責任。 編委會 編委會成員 何陽、廖璇、陳湉、鄭威、許一駿、唐明環、董欣明、曹會賓、呂衎、馬聰、 姜鼎、張學陽、鄭曉玲、王榕 、 郭訓平、程智力、馬志民、謝勇、魏超 、史博、邱寅峰 、 龍述兵 、 張融 、 李洋 、蘇云 參與單位 中國信息通信研究院、 北京智游網安科技有限公司（愛加密） 、 北京頂象技術有限公司 、 信通院安全所 騰訊安全聯合實驗室 產業互聯網安全實驗室 、 大數據協同安全技術國家工程實驗室 金融行業安全研究中心 前 言 近年來，以移動互聯網技術為代表的新一代信息新技術發展迅猛，智能終端得到了廣泛的普及，信息化浪潮蓬勃興起，移動應用在國內甚至全球諸多產業發展中的重要地位逐漸顯現。據 App Annie 發布的 2019 年移動市場報告 數據顯示， 2018 年全球移動應用下載量 1940億，其中我國的移動應用下載量占比將近 50，是目前全球移動應用下載量最大的國家。 在金融領域， 隨著移動支付的普及， 用戶通過 智能 移動 終端 進行投融資、借貸、交易支付等活動愈加頻繁，大部分的金融機構平臺通過移動 App 開展業務， 移動金融應用的重要性和價值逐漸凸顯 。 移動金融就是將移動性賦予金融服務業，實現金融服務業務移動化。 移動金融包括銀行、證券、保險等 傳統金融服務向移動端的轉移，也包括移動 互聯網借貸、理財等新興金融服務 。 移動金融 能 有效提升運營效率，降低管理成本，為客戶提供更加便捷、實時、高效的服務。 然而，移動金融應用在給大眾生活帶來巨大便利的同時，也帶來了巨大的安全挑戰。移動端操作系統，特別是安卓操作系統，由于其系統本身的開源性，系統漏洞更容易 被發現和利用，增加了 App 本身的脆弱性；部分金融行業 App 開發者安全意識淡薄，防護技術手段落后，開發流程不規范，更新修復不及時等，也增加了移動金融 App 的安全風險；同時，由于移動 App 能夠收集到大量精準且有價值的用戶信息，導致越來越多的移動金融 App 成為不法分子的攻擊目標。據全球關鍵信息基礎設施網絡安全狀況分析報告（ 2017） 統計，金融行業是國家關鍵信息基礎設施行業中遭受網絡攻擊最多的行業，移動金融應用的安全問題亟需關注。 本白皮書聚焦于移動金融應用的安全，詳細梳理了移動金融應用安全的政策和技術背景；從地域、應用市場和細分行業三個維度分別介紹了移動金融 App 的分布情況；重點剖析了移動金融 App 面臨的高危漏洞、惡意程序、 SDK 使用安全、違規索權、缺乏加固五大安全風險；最后，提出了移動金融 App 安全建設的新思路和應對策略，并對移動金融應用安全未來的發展趨勢進行了展望。 目 錄 一、移動 金融應用的安全背景 1 （一）移動互聯網高速發展 1 （二）移動應用監管政策日趨嚴格 3 （三） 5G 時代移動金融應用發展 8 二、移動金融應用的分布情況 . 10 （一）移動金融應用的地域分布不均 10 （二）移動金融應用的應用市場集中度高 11 （三）借貸領域移動應用持續發展占據半數市場 11 （四）典型細分行業移動應用分布情況 12 三、移動金融應用的安全風險 . 17 （一） 以數據泄露為代表的高危漏洞風險 17 （二）以流氓行為為代表的惡意程序風險 19 （三）使用第三方 SDK 引入安全風險 . 21 （四）違規索權帶來的隱私泄露風險 23 （五）安全加固不足帶來的安全風險 32 四、移動金融應用安全創新思路 . 36 （一）以移動金融應用安全為核心的整體設計 36 （二）建設符合監管發展的合規檢測能力 37 （三）全 生命周期的移動金融應用安全防護策略 38 （四）主動風險感知替代被動響應的防御思維 39 五、移動金融應用安全前景展望 . 42 （一）安全政策頻出，移動應用安全與基礎設施安全齊頭并進 42 （二）合規升級合法，移動金融應用隱私數據安全市場火熱 42 （三）感知技術升級，驅動安全業務智能創新 43 附錄 A 金融行業 APP 地域分布表 44 附錄 B 金融行業 APP 分類邏輯及典型應用 46 附錄 C TOP10 高危漏洞說明 49 附錄 D APP 惡意程序類型解釋 52 附錄 E 受到惡意程序感染的 APP 地域分布表 53 移動金融應用安全白皮書（ 2019 年） 1 一、 移動金融應用的安全背景 （一） 移動互聯網高速發展 據中國互聯網絡信息中心（ CNNIC）發布的第 44 次中國互聯網絡發展狀況統計報告顯示，截至 2019 年 6 月，我國網民規模達8.54 億，較 2018 年底增長 2598 萬，互聯網普及率達 61.2，較 2018年底提升了 1.6 個百分點；我國手機網民規模達 8.47 億，較 2018 年底增長 2984 萬，網民使用手機上網的比例達 99.1，較 2018 年底提升了 0.5 個百分點 ，具體數據如圖 1 所示 。與五年前相比，移動寬帶平均下載速率提升約 6 倍，手機上網流量資費水平降幅超 90。 “提速降費 ”推動移動互聯網流量大幅增長，用戶月均使用移動流量達7.2GB，為全球平均水平的 1.2 倍；移動互聯網接入流量消費達 553.9億 GB，同比增長 107.3。以手機為中心的智能設備，成為 “萬物互聯 ”的基礎，車聯網、智能家電促進 “住行 ”體驗升級，構筑個性化、智能化應用場景。移動互聯網服務場景不斷豐富、移動終端規模加速提升、移動數據量持續擴大，為移動互聯網產業創造更多價值挖掘空間。 移動金融應用安全白皮書（ 2019 年） 2 數據來源 CNNIC 中國互聯網絡發展狀況統計調查 圖 1 手機網民規模及其占網民比例 截至 2019 年 10 月，我國本土市場上監測到的移動應用程序（ App）在架數量為 525 萬款，基于安卓系統的第三方應用商店安卓移動應用數量超過 286 萬款，占比為 54.4，蘋果商店（中國區）移動應用數量約 239 萬款，微信小程序 57 萬款，微信公眾號 44 萬個。 具體數據如圖 2 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 2 中國市場移動 App 數量統計 移動金融應用安全白皮書（ 2019 年） 3 截至 2019 年 10 月，游戲類應用數量約 141 萬款，占比達 50；生活服務類應用規模達 54.2 萬款，排名第二，占比為 19；電子商務類應用排名第三，規模為 42.1 萬款，占比為 15，金融行業相關移動應用達到 13.3 萬款，成為應用市場中極具分量的專項類別。 具體數據如圖 3 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 3 中國市場移動應用類型統計 （二） 移動應用監管政策日趨嚴格 1.金融監管部門發布多項規定保障 App 安全 近年來，金融科技行業安全整體態勢穩定，監管框架逐步完善。中國金融科技行業的發展已從單純的市場開拓階段進入到了基于安移動金融應用安全白皮書（ 2019 年） 4 全風險防范的發展階段。未來 ,隨著監管框架與安全意識進一步提高，金融科技行業的安全性將進一步提升，整個行業也將實現平穩增長。 2017 年 6 月，中國人民銀行印發了中國金融業信息技術“十三五”發展規劃，確立了“十三五”期間金融業信息技術工作的發展目標，提出將健全網絡安全防護體系，增強安全生產和安全管理能力作為重點任務之一，要求不僅要提高金融信息系統安全生產能力，提高金融網絡安全管理水平，還要全面推進金融業落實中華人民共和國網絡安全法（以下簡稱網絡安全法）。 2019 年 3 月，中國人民銀行關于進一步加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知發布，提出健全緊急止付和快速凍結機制，加強賬戶實名制管理等要求，抑制金融欺詐等犯罪活 動的發生。 2019 年 8 月 22 日，中國人民銀行印發金融科技 FinTech發展規劃 2019-2021 年 （以下簡稱規劃），明確提出未來三年金融科技工作的指導思想、基本原則、發展目標、重點任務和保障措施。規劃在提升金融業務風險防范能力上，明確提出組織建設統一的金融風險監控平臺，引導金融機構加強金融領域 App 與門戶網站實名制和安全管理，增強網上銀行、手機銀行、直銷銀行等業務系統的安全監測防護水平，提升對仿冒 App、釣魚網站的識別處置能力。 移動金融應用相關法律法規的密集頒布和出臺，體現了政府對保移動金融應用安全白皮書（ 2019 年） 5 障移動金融 App 網絡安全的重視和治理 移動金融 App 網絡安全的 決心，也反映出當前移動 金融 App 安全面臨著嚴峻的形勢。 2.等保 2.0 對移動金融應用安全提出新要求 2019 年 5 月 13 日，公安部正式發布信息安全技術 網絡安全等級保護基本要求等 系列 國家標準（以下簡稱“等保 2.0”）， 標志著 “等保 2.0”時代正式到來 。等保 2.0 系列國家標準的發布，對加強我國網絡安全保障工作，提升網絡安全保護能力具有重要意義。 移動互聯安全作為網絡安全等級保護技術體系的一個重要內容，近年來逐漸成為大眾關注的焦點。網絡安全等級保護 基本要求 移動互聯安全擴展要求從技術要求和管理要求兩個維度對采用移動互聯技術的等級保護對象如何進行定級和有效防護進行了明確描述。以一個三級移動互聯系統為例，系統既要滿足三級的安全通用要求，又要滿足三級的移動互聯安全擴展要求。移動互聯部分通常由移動終端、移動應用和無線網絡三部分組成。移動性和便捷性是采用移動互聯技術等級保護的企業與傳統等級保護企業的最大區別，移動終端可以遠程通過運營商基站或公共 Wi-Fi 接入等級保護企業，也可以通過本地無線接入設備接入等級保護企業。與傳統信息系統相比，采用移動互聯技術的系統將面對更大的攻擊面。因此，對移動互聯環境主要增加包括 “無線接入點的物理位置 ”、 “移動終端管控 ”、 “移動應用管控 ”、“移動應用軟件采購 ”和 “移動應用軟件開發 ”等方面要求。等保 2.0 移移動金融應用安全白皮書（ 2019 年） 6 動互聯安全擴展要求針對移動終端、移動應用和無線網絡部分提出特殊安全要求，與安全通用要求一起構成對采用移動互聯技術的等級保護對象的完整安全要求。 網絡安全法和等保 2.0 系列國家標準的出臺，對整體互聯網環境、移動金融 App 安全建 設工作的穩步推進提供了催化劑。移動金融 App 企業應該切實落實相應的法律法規，從技術和管理兩方面著手，打造綠色的網絡環境。 3.移動 App 個人信息安全成監管重點 針對移動 App 安全及個人信息安全問題， 國家、行業 主管部門等相關單位陸續 出臺 了多項 法律法規和標準規范，用于凈化移動 App 個人信息安全市場。 網絡安全法的第 41 條至 43 條明確規定了個人信息和個人隱私保護方面的內容，規定網絡運營者收集、使用個人信息時，應當遵循相關的法律法規，并經被收集者同意。 2018 年 5 月 1 日，全國信息安全標準化技術委員會發布 GB/T 35273-2017 信息安全技術個人信息安全規范，針對個人信息面臨的安全問題 ,規范個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為 ,旨在遏制個人信息非法收集、濫用、泄漏等亂象的發生 ,最大程度地保障個人的合法權益和社會公共利益。 移動金融應用安全白皮書（ 2019 年） 7 2019 年 1 月 25 日，中央網信辦、工業和信息化部、公安部、市場監管總局等四部門聯合發布關于開展 App 違法違規收集使用個人信息專項治理的公告，成立 App 專項治理工作組，在全國范圍內組織開展 App 違法違規收集使用個人信息專項治理行動。 3 月 1 日，App 專項治理工作組發布 App 違法違規收集使用個人信息自評估指南，對 App 的隱私政策文本、 App 收集使用個人信息行為、 App 運營者對用戶權利的保障等合計 32個評估點和評估標準作出定義。 3月15 日，中央網信辦 、市場監管總局 正式對外發布公告，將依據移動互聯網應用程序（ App）安全認證實施規則開展 App 安全認證工作。5 月 5 日 ， App 專項治理工作組起草了 App 違法違規收集使用個人信息行為認定方法（征求意見稿）（以下簡稱認定方法），并在其官網和公眾號公開，向社會各界公開征求意見，認定方法明確界定了 App 收集使用個人信息方面的違法違規行為，為 App 運營者自查自糾提供指引，為 App 評估和處置提供參考。 2019 年 6 月 1 日，全國信息安全標準化技術委員會發布移動互聯網應用基本業務功能必要信息規范，針對當前移動互聯網應用中存在的超范圍收集、強制授權、過度索權等個人信息安全問題，結合當前移動互聯網技術及應用現狀，圍繞用戶數據量大、社會關注度高的移動互聯網應用基本 業務功能，給出了保障其正常運行需收集的個人信息的最小范圍。 移動金融應用安全白皮書（ 2019 年） 8 2019 年 7 月 1 日， 工業和信息化部 印發電信和互聯網行業提升網絡數據安全保護能力專項行動方案， 強調為 深化 App 違法違規專項治理，將持續推進 App 違法違規采集使用個人信息專項治理行動。 2019 年 8 月 8 日， 為落實網絡安全法對個人信息保護的相關要求的同時，加快相應標準化工作， 全國信息安全標準化技術委員會秘書處 發布 信息安全 技術 移動互聯網應用（ App）收集個人信息基本規范（草案），向社會公開征求意見。 相關法律法規和標準 文件 的出臺，規范了移動應 用收集、使用、存儲、傳輸、銷毀個人信息數據的各類行為，定義了個人信息安全條款的必要標準和格式以及在第三方使用數據時必要的流程。同時，相關法律法規和標準規范也為監管機構和檢測機構等提供了合規檢測標準，為相關檢測工具定義了檢測依據。 （三） 5G 時代移動金融應用發展 隨著 5G 時代來臨，移動互聯網將會以全新的形象展現。作為萬物互聯時代的新型基建底層技術 ,5G是連接物聯網和人工智能的紐帶 ,其特性將促進物聯網向智能網絡的過渡 ,最終實現智能社會。截至目前，中行、工行、浦發銀行都已對外宣布推出 5G 網點， 5G 網絡的高速傳輸和 低延遲性可為金融業務流程帶入更多的 “實時屬性 ”，如人臉識別的更廣泛應用、基于微表情的實時風控、新的支付手段、人機交移動金融應用安全白皮書（ 2019 年） 9 互的普及以及遠程開戶等，都在 5G 環境下都有了更大的想象空間。 基于 5G的移動金融應用形式也將變得多樣化，不管是原生應用、混合式應用還是 WEB 應用，都會伴隨著 5G 技術的成熟，實現更多的創新應用場景，如視頻呼叫、定位、交易、查找、上傳和下載等。隨著更多新型移動應用出現，移動應用安全也將成為金融機構關注的焦點。相比現有相對封閉的移動通信系統， 5G 時代接入的用戶、設備種類將更加復雜，風險也隨之增大，金融 機構在運用新技術的同時，需要進一步完善風險管理體系，防范新技術帶來的跨界安全風險、操作風險等，如此才能更好地發揮新技術的積極作用。 移動金融應用安全白皮書（ 2019 年） 10 二、移動金融應用的分布情況 截止 2019 年 9 月 11 日，報告團隊已從 232 個安卓應用市場中收錄了 133327 款金融行業 App。 （一） 移動金融 應用的 地域分布不均 從觀測對象的地域分布來看，有 130022 款可以明確歸屬省份，全國 34 個省級行政區均有金融行業 App 生成 （金融行業 App 地域分布詳細數據參見附錄 A） ，平均每個省 份生成金融行業 App3824 款。金融行業 App 地域分布不均，廣東、湖北和北京分別以 29.60、 21.30和 12.96的高占比排名金融行業 App 生成數量前三，而西藏、青海等 6 省份總占比僅有 0.18。 具體數據如圖 4 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 4 App地域分布情況 移動金融應用安全白皮書（ 2019 年） 11 （二） 移動金融 應用的 應用市場集中度高 從應用市場的分布來看 （金融行業 App 分類邏輯及典型應用參見附錄 B） ，本次研究的 App 共來自 232 個應用市場，而 59.03的App 集中在應用寶、 5577、百度手機助手等排名前十的應用市場，遠超其它 222 個應用市場之和。應用寶以 16.29的高收錄占比拔得頭籌； 5577 我機市場則以 13716 的收錄量位居第二，占比 10.29；百度手機助手排行第三， App 收錄量占監測總數的 6.84。 具體數據如圖 5 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 5 移動金融應用市場分布統計 （三） 借貸領域 移動應用 持續發展占據半數市場 從金融行業 App 細分領域來看 （金融行業 App 分類邏輯及典型應用參見附錄 B） ，借貸類 App 包攬前三名 中的兩個席位。其中，面向個人用戶的消費金融類 App 數量最多，占觀測總數的 36.74；面3458358235975129549661866692912613716217162.592.692.703.854.124.645.026.8410.2916.290 5000 10000 15000 20000 25000歷趣市場華為應用市場360市場其他魔盟網安智市場5577安卓網百度手機助手5577我機市場應用寶移動金融應用安全白皮書（ 2019 年） 12 向企業的 P2P 金融類 App 排名第三，占觀測總數的 11.38；彩票類App 排名第二，占觀測總數的 27.19。不同細分領域 App 占比如圖6 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 6 不同細分領域 App數量及占比 （四） 典型細分行業 移動應用 分布情況 1． 銀行類 移動應用 分布情況 本次收錄的銀行類 App 共 1898 款，其中，廣東省以 423 款排名第一，占全部銀行類 App 的 22.29；北京市則以 10.54的占比位居第二；排行第三的是湖北省，其 App 數量占監測總數的 8.38。 App數量較多的省份還有滬魯閩三地，三者擁有的金融移動 App 數量均超過 100 款。 具體數據如圖 7 所示。 1222615431693189822092553266432634259134441517936253489860.090.200.411.271.421.661.912.002.453.1910.0811.3827.1936.740 10000 20000 30000 40000 50000 60000信托互聯網第三方支付外匯數字貨幣銀行保險其他股票財務管理證券投資理財P2P金融彩票消費金融移動金融應用安全白皮書（ 2019 年） 13 數據來源 北京智游網安科技有限公司（愛加密） 圖 7 銀行類移動 App地域數量統計 銀行業 App 收錄量排名前十的應用市場中，華為應用市場收錄銀行類 App 數量最多，占監測總數的 13.96；其次是應用寶，收錄量占監測總數的 9.96；歷趣市場排名 第三，收錄 5.48的 App應用。具體數據如圖 8 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 8 銀行類移動 App應用市場分布情況 686870717279801041892653.583.583.693.743.794.164.215.489.9613.960 50 100 150 200 250 300豌豆莢安智市場5577我機市場360市場安卓市場百度手機助手樂商店歷趣市場應用寶華為應用市場移動金融應用安全白皮書（ 2019 年） 14 2． 證券類 移動應用 分布情況 本次收錄的證券類 App 共 4259 款，廣東省占據了全國 28.88的證券類 App，排名第一；北京以 17.66的占比率排名第二；上海排行第三，占比率為 8.24。 App 數量較多的還有湖北與浙江，二者 App數量均超過 300 個。 具體數據如圖 9 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 9 證券類移動 App地域數量統計 證券類 App 分布在 112 個應用市場，收錄量排名前十的應用市場共計收錄了 68.54的移動應用。其中，應用寶收錄的 App 數量最多，占監測總數的 15.36；其次是華為應用市場，收錄量占監測總數的 10.07； 360 市場排名第三，收錄 7.33的 App 應用。 具體數據如圖 10 所示。 移動金融應用安全白皮書（ 2019 年） 15 數據來源 北京智游網安科技有限公司（愛加密） 圖 10 證券類 App應用市場分布情況 3． 保險類 移動應用 分布情況 本次收錄的保險類 App 共 2209 款，廣東和北京兩地占據 53.51的市場份額。此外，就 App 數量而言，超過 100 款 App 的省份還有上海、浙江、云南和湖北四個省份。 具體數據如圖 11 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 11 保險類移動 App地域數量統計 1481831862032572652823124296543.474.304.374.776.036.226.627.3310.0715.360 100 200 300 400 500 600 700歷趣市場小鳥應用商店百度手機助手樂商店小米應用商店豌豆莢安智市場360市場華為應用市場應用寶移動金融應用安全白皮書（ 2019 年） 16 保險業 App 分布在 101 個應用市場，收錄量排名前十的應用市場共計收錄 71.44的移動應用。其中，應用寶收錄 App 數量最多，占監測總數的 14.85；其次是安智市場，收錄量占監測總數的 10.55；百度手機助手排名第三，收錄 9.96的 App 應用。 具體數據如圖 12所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 12 保險類 App應用市場分布情況 708386961481511632202333283.173.763.894.356.706.847.389.9610.5514.850 50 100 150 200 250 300 350360市場免費市場努比亞 APP樂商店華為應用市場豌豆莢歷趣市場百度手機助手安智市場應用寶移動金融應用安全白皮書（ 2019 年） 17 三、移動金融應用的安全風險 （一） 以數據泄露為代表的高危漏洞風險 報告團隊對 133327 款 金融 行業 App 進行掃描，共計檢測出1979696條漏洞記錄 ，涉及 60種漏洞類型，其中有 21 種為高危漏洞。金融行業 App 中， 73.23存在不同程度的安全漏洞， 70.22存在高危漏洞。平均每款金融行業 App 存在 20.3 個安全漏洞，其中 6.7 個為高危漏洞。 具體數據如圖 13 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 13 金融行業 App各等級漏洞情況 從 App 分類角度來看，互聯網第三方支付和信托類 App 的高危漏洞問題較為突出，存在高危漏洞 App 的比例 93.87和 93.44。保險、投資理財、外匯等分類的 App 高危漏洞問題也相對嚴重，存在高危漏洞的 App 比例超過 85。 具體數據如圖 14 所示。 低危漏洞 , 73.03中危漏洞 , 73.14高危漏洞 , 70.22移動金融應用安全白皮書（ 2019 年） 18 數據來源 北京智游網安科技有限公司（愛加密） 圖 14 不同細分領域高危漏洞 App 數量及占比情況 從高危漏洞類型來 看 （ Top10 高危漏洞介紹及危害說明參見附錄C） ，存在動態注冊 Receiver風 險 App數量最多，占觀測總數的 53.42；Janus 漏洞的與 Web View 遠程代碼執行漏洞緊隨其后，分別占據觀測總數的 53.25與 53.18。 具體數據如圖 15 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 15 高危漏洞類型分布（ Top10） 58.2974.3386.8767.6482.8477.7888.8883.9787.6978.0379.8685.6493.8793.4405000100001500020000250003000050.0055.0060.0065.0070.0075.0080.0085.0090.0095.00100.00存在高危漏洞 APP占比 存在高危漏洞 APP數量2948337557467295167654777556936052870902709977122922.1128.1735.0538.7641.0841.7745.4053.1853.2553.420 15000 30000 45000 60000 75000H5文件加固檢測數據庫注入漏洞IP檢測權限濫用風險RSA加密算法不安全使用風險WebView明文存儲密碼漏洞Java代碼加殼檢測WebView遠程代碼執行漏洞Janus漏洞動態注冊 Receiver風險移動金融應用安全白皮書（ 2019 年） 19 （二） 以流氓行為為代表的惡意程序風險 經報告團隊使用的惡意程序檢測系統檢測發現，共有 8217 款金融行業 App 被檢測出含有惡意程序，惡意程序感染率為 6.16。主要涉及移動用戶的隱私數 據收集、惡意扣費、流量資源消耗、廣告推送等多種惡意行為，對移動用戶的個人信息及財產安全帶來巨大威脅。 從惡意程序類型來看 （惡意程序類型及說明參加附錄 D） ， 有82.02的 App 已經受到具有流氓行為的惡意程序感染，這類惡意程序會在用戶未授權的情況下，彈出廣告窗口等，不僅影響用戶使用體驗，而且如用戶誤觸點擊可能帶來進一步隱私風險和安全問題； 9.10的 App 受到具有信息竊取行為的惡意程序感染，這類惡意程序會竊取用戶短信、通訊錄、通話記錄、位置等敏感信息，導致用戶信息泄露； 5.25的 App 受到具有惡意傳播行為的 惡意程序感染，這類惡意程序的特征是在用戶不知情或未授權的情況下，將自身、自身的衍生物或其它惡意程序擴散到正常設備。具體數據如圖 16 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 16 App惡意程序類型分布情況（一款 App可能存在多種病毒） 流氓行為 , 82.02信息竊取 ,9.10惡意傳播 , 5.25資費消耗 ,2.22 遠程控制 , 1.25惡意扣費 , 0.15系統破壞 , 0.01移動金融應用安全白皮書（ 2019 年） 20 從地域分布來看，除 19 款歸屬省份不明的 App 之外，其余 8198款受到惡意程序感染的 App 分布除香港外的 33 個省級行 政區 （受到惡意程序感染的 App 地域分布數據參見附錄 E） 。其中，江 蘇受到惡意程序感染的 App 數量最多，占全部受到惡意程序感染的 App 總數的 37.63；廣東其次，有 30.16的 App 受到惡意程序感染；北京排行第三，有 12.56的 App 受到惡意程序感染。受到惡意程序感染的App 的地域分布情況如圖 17 所示 數據來源 北京智游網安科技有限公司（愛加密） 圖 17 受到惡意程序感染的 App 區域分布情況 從 App 細分領域角度來看，受到惡意程序感染的 App 數量前三移動金融應用安全白皮書（ 2019 年） 21 的類別分別為消費金融類、彩票類、 P2P 金融類 App，分別有 4166款、 2378 款、 949 款 App 已經受到惡意程序感染。而從各個分類受到惡意程 序感染的 App 比例來看，消費金融類、彩票類、 P2P 金融類受到惡意程序感染的比例相對較高，均超過 6。具體數據如圖 18 所示。 數 據來源 北京智游網安科技有限公司（愛加密） 圖 18 各細分領域受到惡意程序感染的 App分布情況 （三） 使用第三方 SDK 引入安全風險 SDK是 Software Development Kit的縮寫，即 “軟件開發工具包 ”，它是輔助開發某一類應用軟件的相關文檔、范例和工具的集合。隨著移動互聯網的快速迭代發展，越來越多的服務提供商選擇將其服務封裝成 SDK 供開發者使用。而開發者為了提升效率、降低成本，往往會在開發過程中嵌入第三方 SDK。 但是，第三方 SDK 常存在安全漏0.771.660.830.611.772.632.292.113.642.696.256.568.500.00 11.00 22.00 33.00 44.00 55.00互聯網第三方支付外匯數字貨幣證券保險銀行股票財務管理其他投資理財P2P金融彩票消費金融病毒 APP占比 領域滲透率移動金融應用安全白皮書（ 2019 年） 22 洞、惡意程序、隱蔽收集個人信息等安全問題，進而給嵌入 SDK 的App 帶來相應的安全隱患。 據愛加密發布的全國移動應用 SDK 市場占有率分析報告統計，有超過 60的 SDK 含有多種漏洞，且 由于 SDK 被廣泛使用到大量 App 中，漏洞造成的影響范圍極廣。不法分子可以通過制作、發布、吸引 App 開發者嵌入含有惡意代碼的 SDK，造成短時間、大范圍的惡意程序傳播和感染，且此類惡意程序具有很強的隱蔽性和對抗殺毒軟件的能力。 SDK 作為獨立的軟件開發工具包，具有收集個人信息的能力，但 SDK 收集哪些個人信息，用戶往往難以感知，甚至 App開發者也未必知曉，給用戶個人信息安全帶來嚴重威脅。 報告團隊觀測發現，有 27300款金融行業 App嵌入了第三方 SDK，占全部 金融 行業 App 的 20.48。這些 App 共嵌入 104005 個第三方SDK，平均每款 App 嵌入 3.8 個。 金融行業 App 第三方 SDK 使用情況如圖 19 所示。 數據來源 北京智游網安科技有限公司（愛加密） 圖 19 不同 SDK個數區間對應的 App分布情況 1 2 3 4 5 6 7 8 9 10 11 12 13APP占比 38.83 9.53 3.58 2.72 23.1210.51 1.88 0.93 0.63 0.20 2.43 5.42 0.20SDK數量占比 10.19 5.00 2.82 2.86 30.3516.55 3.45 1.96 1.50 0.52 7.01 17.09 0.690.005.0010.0015.0020.0025.0030.0035.0040.00移動金融應用安全白皮書（ 2019 年） 23 從 App 使用的 SDK 類型來看， 金融行業與全行業在 SDK 使用類型上有較大差異。金融行業 App 使用排名前三的 SDK 分別是推送類、統計類和社交類，占比分別為 73.11、 9.83和 8.70；全行業App 使用排名前三的 SDK 為框架類、廣告類和社交類，占比分別為42.98、 12.86和 11.60。而框架類和廣告類 SDK 在金融行業 App的 SDK 使用占比 僅有 3.42和 0.28。 具體數據如圖 20 所示。 基于以上研究發現，與金融交易高度相關的支付類 SDK 在金融行業 App 的使用頻次相對較低，而推送類 SDK 在金融行業 App 中使用十分廣泛，安全風險問題需要重點關注。 數據來源 北京智游網安科技有限公司（愛加密） 圖 20 全行業和金融行業 App使用的各類 SDK分布對比 （四） 違規索權帶來的隱私泄露風險 敏感權限獲取和隱私信息泄漏是近年來 App 安全關注和防范的42.9812.86 11.60 10.68 9.386.51 5.47 0.523.420.288.70 9.83 4.6673.110.00 0.010.0010.0020.0030.0040.0050.0060.0070.0080.00框架類 廣告類 社交類 統計類 支付類 推送類 地圖類 音視頻類全行業 金融行業