20191114-中国信通院-云计算与大数据行业：移动金融应用安全白皮书（2019年）.pdf

版权声明版权声明 本白皮书本白皮书版权属于版权属于中国信息通信研究院中国信息通信研究院云计算与大数云计算与大数据研究所和据研究所和安全研究所安全研究所，并受法律保护，并受法律保护。转载、摘编或利用转载、摘编或利用其它方式使用其它方式使用本白皮书文字或者观点的，应本白皮书文字或者观点的，应注明注明“来源：来源：移移动金融应用安全白皮书动金融应用安全白皮书（20192019 年年）”。违反上述声明者，。违反上述声明者，本本院院将追究其相关法律责任。将追究其相关法律责任。编委会编委会 编委会成员：编委会成员：何阳、廖璇、陈湉、郑威、许一骏、唐明环、董欣明、曹会宾、吕衎、马聪、姜鼎、张学阳、郑晓玲、王榕、郭训平、程智力、马志民、谢勇、魏超、史博、邱寅峰、龙述兵、张融、李洋、苏云 参与单位：参与单位：中国信息通信研究院、北京智游网安科技有限公司（爱加密）、北京顶象技术有限公司、信通院安全所&腾讯安全联合实验室产业互联网安全实验室、大数据协同安全技术国家工程实验室金融行业安全研究中心 前前 言言 近年来，以移动互联网技术为代表的新一代信息新技术发展迅猛，智能终端得到了广泛的普及，信息化浪潮蓬勃兴起，移动应用在国内甚至全球诸多产业发展中的重要地位逐渐显现。据 App Annie 发布的2019 年移动市场报告 数据显示，2018 年全球移动应用下载量 1940亿，其中我国的移动应用下载量占比将近 50%，是目前全球移动应用下载量最大的国家。在金融领域，随着移动支付的普及，用户通过智能移动终端进行投融资、借贷、交易支付等活动愈加频繁，大部分的金融机构平台通过移动 App 开展业务，移动金融应用的重要性和价值逐渐凸显。移动金融就是将移动性赋予金融服务业，实现金融服务业务移动化。移动金融包括银行、证券、保险等传统金融服务向移动端的转移，也包括移动互联网借贷、理财等新兴金融服务。移动金融能有效提升运营效率，降低管理成本，为客户提供更加便捷、实时、高效的服务。然而，移动金融应用在给大众生活带来巨大便利的同时，也带来了巨大的安全挑战。移动端操作系统，特别是安卓操作系统，由于其系统本身的开源性，系统漏洞更容易被发现和利用，增加了 App 本身的脆弱性；部分金融行业 App 开发者安全意识淡薄，防护技术手段落后，开发流程不规范，更新修复不及时等，也增加了移动金融 App 的安全风险；同时，由于移动 App 能够收集到大量精准且有价值的用户信息，导致越来越多的移动金融 App 成为不法分子的攻击目标。据 全球关键信息基础设施网络安全状况分析报告（2017）统计，金融行业是国家关键信息基础设施行业中遭受网络攻击最多的行业，移动金融应用的安全问题亟需关注。本白皮书聚焦于移动金融应用的安全，详细梳理了移动金融应用安全的政策和技术背景；从地域、应用市场和细分行业三个维度分别介绍了移动金融 App 的分布情况；重点剖析了移动金融 App 面临的高危漏洞、恶意程序、SDK 使用安全、违规索权、缺乏加固五大安全风险；最后，提出了移动金融 App 安全建设的新思路和应对策略，并对移动金融应用安全未来的发展趋势进行了展望。目目 录录 一、移动一、移动金融应用的安全背景金融应用的安全背景 .1 1（一）移动互联网高速发展.1（二）移动应用监管政策日趋严格.3（三）5G 时代移动金融应用发展.8 二、移动金融应用的分布情况二、移动金融应用的分布情况 .1010（一）移动金融应用的地域分布不均.10（二）移动金融应用的应用市场集中度高.11（三）借贷领域移动应用持续发展占据半数市场.11（四）典型细分行业移动应用分布情况.12 三、移动金融应用的安全风险三、移动金融应用的安全风险 .1717（一）以数据泄露为代表的高危漏洞风险.17（二）以流氓行为为代表的恶意程序风险.19（三）使用第三方 SDK 引入安全风险.21（四）违规索权带来的隐私泄露风险.23（五）安全加固不足带来的安全风险.32 四、移动金融应用安全创新思路四、移动金融应用安全创新思路 .3636（一）以移动金融应用安全为核心的整体设计.36（二）建设符合监管发展的合规检测能力.37（三）全生命周期的移动金融应用安全防护策略.38（四）主动风险感知替代被动响应的防御思维.39 五、移动金融应用安全前景展望五、移动金融应用安全前景展望 .4242（一）安全政策频出，移动应用安全与基础设施安全齐头并进.42（二）合规升级合法，移动金融应用隐私数据安全市场火热.42（三）感知技术升级，驱动安全业务智能创新.43 附录附录 A A 金融行业金融行业 APPAPP 地域分布表地域分布表 .4444 附录附录 B B 金融行业金融行业 APPAPP 分类逻辑及典型应用分类逻辑及典型应用 .4646 附录附录 C TOP10C TOP10 高危漏洞说明高危漏洞说明 .4949 附录附录 D APPD APP 恶意程序类型解释恶意程序类型解释 .5252 附录附录 E E 受到恶意程序感染的受到恶意程序感染的 APPAPP 地域分布表地域分布表 .5353 移动金融应用安全白皮书（2019 年）1 一、移动金融应用的安全背景（一）（一）移动互联网高速发展移动互联网高速发展 据中国互联网络信息中心（CNNIC）发布的第 44 次中国互联网络发展状况统计报告显示，截至 2019 年 6 月，我国网民规模达8.54 亿，较 2018 年底增长 2598 万，互联网普及率达 61.2%，较 2018年底提升了 1.6 个百分点；我国手机网民规模达 8.47 亿，较 2018 年底增长 2984 万，网民使用手机上网的比例达 99.1%，较 2018 年底提升了 0.5 个百分点，具体数据如图 1 所示。与五年前相比，移动宽带平均下载速率提升约 6 倍，手机上网流量资费水平降幅超 90%。“提速降费”推动移动互联网流量大幅增长，用户月均使用移动流量达7.2GB，为全球平均水平的 1.2 倍；移动互联网接入流量消费达 553.9亿 GB，同比增长 107.3%。以手机为中心的智能设备，成为“万物互联”的基础，车联网、智能家电促进“住行”体验升级，构筑个性化、智能化应用场景。移动互联网服务场景不断丰富、移动终端规模加速提升、移动数据量持续扩大，为移动互联网产业创造更多价值挖掘空间。移动金融应用安全白皮书（2019 年）2 数据来源：CNNIC 中国互联网络发展状况统计调查 图 1 手机网民规模及其占网民比例 截至 2019 年 10 月，我国本土市场上监测到的移动应用程序（App）在架数量为 525 万款，基于安卓系统的第三方应用商店安卓移动应用数量超过 286 万款，占比为 54.4%，苹果商店（中国区）移动应用数量约 239 万款，微信小程序 57 万款，微信公众号 44 万个。具体数据如图 2 所示。数据来源：北京智游网安科技有限公司（爱加密）图 2 中国市场移动 App 数量统计 移动金融应用安全白皮书（2019 年）3 截至 2019 年 10 月，游戏类应用数量约 141 万款，占比达 50%；生活服务类应用规模达 54.2 万款，排名第二，占比为 19%；电子商务类应用排名第三，规模为 42.1 万款，占比为 15%，金融行业相关移动应用达到 13.3 万款，成为应用市场中极具分量的专项类别。具体数据如图 3 所示。数据来源：北京智游网安科技有限公司（爱加密）图 3 中国市场移动应用类型统计（二）（二）移动应用监管政策日趋严格移动应用监管政策日趋严格 1.金融监管部门发布多项规定保障 App 安全 近年来，金融科技行业安全整体态势稳定，监管框架逐步完善。中国金融科技行业的发展已从单纯的市场开拓阶段进入到了基于安移动金融应用安全白皮书（2019 年）4 全风险防范的发展阶段。未来,随着监管框架与安全意识进一步提高，金融科技行业的安全性将进一步提升，整个行业也将实现平稳增长。2017 年 6 月，中国人民银行印发了 中国金融业信息技术“十三五”发展规划，确立了“十三五”期间金融业信息技术工作的发展目标，提出将健全网络安全防护体系，增强安全生产和安全管理能力作为重点任务之一，要求不仅要提高金融信息系统安全生产能力，提高金融网络安全管理水平，还要全面推进金融业落实中华人民共和国网络安全法（以下简称网络安全法）。2019 年 3 月，中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知发布，提出健全紧急止付和快速冻结机制，加强账户实名制管理等要求，抑制金融欺诈等犯罪活动的发生。2019 年 8 月 22 日，中国人民银行印发金融科技(FinTech)发展规划(2019-2021 年)（以下简称规划），明确提出未来三年金融科技工作的指导思想、基本原则、发展目标、重点任务和保障措施。规划在提升金融业务风险防范能力上，明确提出组织建设统一的金融风险监控平台，引导金融机构加强金融领域 App 与门户网站实名制和安全管理，增强网上银行、手机银行、直销银行等业务系统的安全监测防护水平，提升对仿冒 App、钓鱼网站的识别处置能力。移动金融应用相关法律法规的密集颁布和出台，体现了政府对保移动金融应用安全白皮书（2019 年）5 障移动金融 App 网络安全的重视和治理移动金融 App 网络安全的决心，也反映出当前移动金融 App 安全面临着严峻的形势。2.等保 2.0 对移动金融应用安全提出新要求 2019 年 5 月 13 日，公安部正式发布信息安全技术 网络安全等级保护基本要求等系列国家标准（以下简称“等保 2.0”），标志着“等保 2.0”时代正式到来。等保 2.0 系列国家标准的发布，对加强我国网络安全保障工作，提升网络安全保护能力具有重要意义。移动互联安全作为网络安全等级保护技术体系的一个重要内容，近年来逐渐成为大众关注的焦点。网络安全等级保护基本要求移动互联安全扩展要求 从技术要求和管理要求两个维度对采用移动互联技术的等级保护对象如何进行定级和有效防护进行了明确描述。以一个三级移动互联系统为例，系统既要满足三级的安全通用要求，又要满足三级的移动互联安全扩展要求。移动互联部分通常由移动终端、移动应用和无线网络三部分组成。移动性和便捷性是采用移动互联技术等级保护的企业与传统等级保护企业的最大区别，移动终端可以远程通过运营商基站或公共 Wi-Fi 接入等级保护企业，也可以通过本地无线接入设备接入等级保护企业。与传统信息系统相比，采用移动互联技术的系统将面对更大的攻击面。因此，对移动互联环境主要增加包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面要求。等保 2.0 移移动金融应用安全白皮书（2019 年）6 动互联安全扩展要求针对移动终端、移动应用和无线网络部分提出特殊安全要求，与安全通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求。网络安全法和等保 2.0 系列国家标准的出台，对整体互联网环境、移动金融 App 安全建设工作的稳步推进提供了催化剂。移动金融 App 企业应该切实落实相应的法律法规，从技术和管理两方面着手，打造绿色的网络环境。3.移动 App 个人信息安全成监管重点 针对移动 App 安全及个人信息安全问题，国家、行业主管部门等相关单位陆续出台了多项法律法规和标准规范，用于净化移动 App 个人信息安全市场。网络安全法 的第 41 条至 43 条明确规定了个人信息和个人隐私保护方面的内容，规定网络运营者收集、使用个人信息时，应当遵循相关的法律法规，并经被收集者同意。2018 年 5 月 1 日，全国信息安全标准化技术委员会发布GB/T 35273-2017 信息安全技术个人信息安全规范，针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象的发生,最大程度地保障个人的合法权益和社会公共利益。移动金融应用安全白皮书（2019 年）7 2019 年 1 月 25 日，中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布关于开展 App 违法违规收集使用个人信息专项治理的公告，成立 App 专项治理工作组，在全国范围内组织开展 App 违法违规收集使用个人信息专项治理行动。3 月 1 日，App 专项治理工作组发布 App 违法违规收集使用个人信息自评估指南，对 App 的隐私政策文本、App 收集使用个人信息行为、App 运营者对用户权利的保障等合计 32 个评估点和评估标准作出定义。3 月15 日，中央网信办、市场监管总局正式对外发布公告，将依据移动互联网应用程序（App）安全认证实施规则 开展 App 安全认证工作。5 月 5 日，App 专项治理工作组起草了App 违法违规收集使用个人信息行为认定方法（征求意见稿）（以下简称认定方法），并在其官网和公众号公开，向社会各界公开征求意见，认定方法明确界定了 App 收集使用个人信息方面的违法违规行为，为 App 运营者自查自纠提供指引，为 App 评估和处置提供参考。2019 年 6 月 1 日，全国信息安全标准化技术委员会发布移动互联网应用基本业务功能必要信息规范，针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息安全问题，结合当前移动互联网技术及应用现状，围绕用户数据量大、社会关注度高的移动互联网应用基本业务功能，给出了保障其正常运行需收集的个人信息的最小范围。移动金融应用安全白皮书（2019 年）8 2019 年 7 月 1 日，工业和信息化部印发电信和互联网行业提升网络数据安全保护能力专项行动方案，强调为深化 App 违法违规专项治理，将持续推进 App 违法违规采集使用个人信息专项治理行动。2019 年 8 月 8 日，为落实网络安全法对个人信息保护的相关要求的同时，加快相应标准化工作，全国信息安全标准化技术委员会秘书处发布信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案），向社会公开征求意见。相关法律法规和标准文件的出台，规范了移动应用收集、使用、存储、传输、销毁个人信息数据的各类行为，定义了个人信息安全条款的必要标准和格式以及在第三方使用数据时必要的流程。同时，相关法律法规和标准规范也为监管机构和检测机构等提供了合规检测标准，为相关检测工具定义了检测依据。（三）（三）5G5G 时代移动金融应用发展时代移动金融应用发展 随着 5G 时代来临，移动互联网将会以全新的形象展现。作为万物互联时代的新型基建底层技术,5G是连接物联网和人工智能的纽带,其特性将促进物联网向智能网络的过渡,最终实现智能社会。截至目前，中行、工行、浦发银行都已对外宣布推出 5G 网点，5G 网络的高速传输和低延迟性可为金融业务流程带入更多的“实时属性”，如人脸识别的更广泛应用、基于微表情的实时风控、新的支付手段、人机交移动金融应用安全白皮书（2019 年）9 互的普及以及远程开户等，都在 5G 环境下都有了更大的想象空间。基于 5G 的移动金融应用形式也将变得多样化，不管是原生应用、混合式应用还是 WEB 应用，都会伴随着 5G 技术的成熟，实现更多的创新应用场景，如视频呼叫、定位、交易、查找、上传和下载等。随着更多新型移动应用出现，移动应用安全也将成为金融机构关注的焦点。相比现有相对封闭的移动通信系统，5G 时代接入的用户、设备种类将更加复杂，风险也随之增大，金融机构在运用新技术的同时，需要进一步完善风险管理体系，防范新技术带来的跨界安全风险、操作风险等，如此才能更好地发挥新技术的积极作用。移动金融应用安全白皮书（2019 年）10 二、移动金融应用的分布情况 截止 2019 年 9 月 11 日，报告团队已从 232 个安卓应用市场中收录了 133327 款金融行业 App。（一）（一）移动金融移动金融应用的应用的地域分布不均地域分布不均 从观测对象的地域分布来看，有 130022 款可以明确归属省份，全国 34 个省级行政区均有金融行业 App 生成（金融行业 App 地域分布详细数据参见附录 A），平均每个省份生成金融行业 App3824 款。金融行业 App 地域分布不均，广东、湖北和北京分别以 29.60%、21.30%和 12.96%的高占比排名金融行业 App 生成数量前三，而西藏、青海等 6 省份总占比仅有 0.18%。具体数据如图 4 所示。数据来源：北京智游网安科技有限公司（爱加密）图 4 App 地域分布情况 移动金融应用安全白皮书（2019 年）11（二）（二）移动金融移动金融应用的应用的应用市场集中度高应用市场集中度高 从应用市场的分布来看（金融行业 App 分类逻辑及典型应用参见附录 B），本次研究的 App 共来自 232 个应用市场，而 59.03%的App 集中在应用宝、5577、百度手机助手等排名前十的应用市场，远超其它 222 个应用市场之和。应用宝以 16.29%的高收录占比拔得头筹；5577 我机市场则以 13716 的收录量位居第二，占比 10.29%；百度手机助手排行第三，App 收录量占监测总数的 6.84%。具体数据如图 5 所示。数据来源：北京智游网安科技有限公司（爱加密）图 5 移动金融应用市场分布统计（三）（三）借贷领域借贷领域移动应用移动应用持续发展占据半数市场持续发展占据半数市场 从金融行业 App 细分领域来看（金融行业 App 分类逻辑及典型应用参见附录 B），借贷类 App 包揽前三名中的两个席位。其中，面向个人用户的消费金融类 App 数量最多，占观测总数的 36.74%；面3458358235975129549661866692912613716217162.59%2.69%2.70%3.85%4.12%4.64%5.02%6.84%10.29%16.29%0500010000150002000025000历趣市场华为应用市场360市场其他魔盟网安智市场5577安卓网百度手机助手5577我机市场应用宝移动金融应用安全白皮书（2019 年）12 向企业的 P2P 金融类 App 排名第三，占观测总数的 11.38%；彩票类App 排名第二，占观测总数的 27.19%。不同细分领域 App 占比如图6 所示。数据来源：北京智游网安科技有限公司（爱加密）图 6 不同细分领域 App 数量及占比（四）（四）典型细分行业典型细分行业移动应用移动应用分布情况分布情况 1银行类移动应用分布情况 本次收录的银行类 App 共 1898 款，其中，广东省以 423 款排名第一，占全部银行类 App 的 22.29%；北京市则以 10.54%的占比位居第二；排行第三的是湖北省，其 App 数量占监测总数的 8.38%。App数量较多的省份还有沪鲁闽三地，三者拥有的金融移动 App 数量均超过 100 款。具体数据如图 7 所示。1222615431693189822092553266432634259134441517936253489860.09%0.20%0.41%1.27%1.42%1.66%1.91%2.00%2.45%3.19%10.08%11.38%27.19%36.74%0100002000030000400005000060000信托互联网第三方支付外汇数字货币银行保险其他股票财务管理证券投资理财P2P金融彩票消费金融移动金融应用安全白皮书（2019 年）13 数据来源：北京智游网安科技有限公司（爱加密）图 7 银行类移动 App 地域数量统计 银行业 App 收录量排名前十的应用市场中，华为应用市场收录银行类 App 数量最多，占监测总数的 13.96%；其次是应用宝，收录量占监测总数的9.96%；历趣市场排名第三，收录5.48%的App应用。具体数据如图 8 所示。数据来源：北京智游网安科技有限公司（爱加密）图 8 银行类移动 App 应用市场分布情况 686870717279801041892653.58%3.58%3.69%3.74%3.79%4.16%4.21%5.48%9.96%13.96%050100150200250300豌豆荚安智市场5577我机市场360市场安卓市场百度手机助手乐商店历趣市场应用宝华为应用市场移动金融应用安全白皮书（2019 年）14 2证券类移动应用分布情况 本次收录的证券类 App 共 4259 款，广东省占据了全国 28.88%的证券类 App，排名第一；北京以 17.66%的占比率排名第二；上海排行第三，占比率为 8.24%。App 数量较多的还有湖北与浙江，二者 App数量均超过 300 个。具体数据如图 9 所示。数据来源：北京智游网安科技有限公司（爱加密）图 9 证券类移动 App 地域数量统计 证券类 App 分布在 112 个应用市场，收录量排名前十的应用市场共计收录了 68.54%的移动应用。其中，应用宝收录的 App 数量最多，占监测总数的 15.36%；其次是华为应用市场，收录量占监测总数的 10.07%；360 市场排名第三，收录 7.33%的 App 应用。具体数据如图 10 所示。移动金融应用安全白皮书（2019 年）15 数据来源：北京智游网安科技有限公司（爱加密）图 10 证券类 App 应用市场分布情况 3保险类移动应用分布情况 本次收录的保险类 App 共 2209 款，广东和北京两地占据 53.51%的市场份额。此外，就 App 数量而言，超过 100 款 App 的省份还有上海、浙江、云南和湖北四个省份。具体数据如图 11 所示。数据来源：北京智游网安科技有限公司（爱加密）图 11 保险类移动 App 地域数量统计 1481831862032572652823124296543.47%4.30%4.37%4.77%6.03%6.22%6.62%7.33%10.07%15.36%0100200300400500600700历趣市场小鸟应用商店百度手机助手乐商店小米应用商店豌豆荚安智市场360市场华为应用市场应用宝移动金融应用安全白皮书（2019 年）16 保险业 App 分布在 101 个应用市场，收录量排名前十的应用市场共计收录 71.44%的移动应用。其中，应用宝收录 App 数量最多，占监测总数的 14.85%；其次是安智市场，收录量占监测总数的 10.55%；百度手机助手排名第三，收录 9.96%的 App 应用。具体数据如图 12所示。数据来源：北京智游网安科技有限公司（爱加密）图 12 保险类 App 应用市场分布情况 708386961481511632202333283.17%3.76%3.89%4.35%6.70%6.84%7.38%9.96%10.55%14.85%050100150200250300350360市场免费市场努比亚(APP)乐商店华为应用市场豌豆荚历趣市场百度手机助手安智市场应用宝移动金融应用安全白皮书（2019 年）17 三、移动金融应用的安全风险（一）（一）以数据泄露为代表的高危漏洞风险以数据泄露为代表的高危漏洞风险 报告团队对 133327 款金融行业 App 进行扫描，共计检测出1979696 条漏洞记录，涉及 60 种漏洞类型，其中有 21 种为高危漏洞。金融行业 App 中，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞。平均每款金融行业 App 存在 20.3 个安全漏洞，其中 6.7 个为高危漏洞。具体数据如图 13 所示。数据来源：北京智游网安科技有限公司（爱加密）图 13 金融行业 App 各等级漏洞情况 从 App 分类角度来看，互联网第三方支付和信托类 App 的高危漏洞问题较为突出，存在高危漏洞 App 的比例 93.87%和 93.44%。保险、投资理财、外汇等分类的 App 高危漏洞问题也相对严重，存在高危漏洞的 App 比例超过 85%。具体数据如图 14 所示。低危漏洞,73.03%中危漏洞,73.14%高危漏洞,70.22%移动金融应用安全白皮书（2019 年）18 数据来源：北京智游网安科技有限公司（爱加密）图 14 不同细分领域高危漏洞 App 数量及占比情况 从高危漏洞类型来看（Top10 高危漏洞介绍及危害说明参见附录C），存在动态注册Receiver风险App数量最多，占观测总数的53.42%；Janus 漏洞的与 Web View 远程代码执行漏洞紧随其后，分别占据观测总数的 53.25%与 53.18%。具体数据如图 15 所示。数据来源：北京智游网安科技有限公司（爱加密）图 15 高危漏洞类型分布（Top10）58.29%74.33%86.87%67.64%82.84%77.78%88.88%83.97%87.69%78.03%79.86%85.64%93.87%93.44%05000100001500020000250003000050.00%55.00%60.00%65.00%70.00%75.00%80.00%85.00%90.00%95.00%100.00%存在高危漏洞APP占比存在高危漏洞APP数量2948337557467295167654777556936052870902709977122922.11%28.17%35.05%38.76%41.08%41.77%45.40%53.18%53.25%53.42%01500030000450006000075000H5文件加固检测数据库注入漏洞IP检测权限滥用风险RSA加密算法不安全使用风险WebView明文存储密码漏洞Java代码加壳检测WebView远程代码执行漏洞Janus漏洞动态注册Receiver风险移动金融应用安全白皮书（2019 年）19（二）（二）以流氓行为为代表的恶意程序风险以流氓行为为代表的恶意程序风险 经报告团队使用的恶意程序检测系统检测发现，共有 8217 款金融行业 App 被检测出含有恶意程序，恶意程序感染率为 6.16%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为，对移动用户的个人信息及财产安全带来巨大威胁。从恶意程序类型来看（恶意程序类型及说明参加附录 D），有82.02%的 App 已经受到具有流氓行为的恶意程序感染，这类恶意程序会在用户未授权的情况下，弹出广告窗口等，不仅影响用户使用体验，而且如用户误触点击可能带来进一步隐私风险和安全问题；9.10%的 App 受到具有信息窃取行为的恶意程序感染，这类恶意程序会窃取用户短信、通讯录、通话记录、位置等敏感信息，导致用户信息泄露；5.25%的 App 受到具有恶意传播行为的恶意程序感染，这类恶意程序的特征是在用户不知情或未授权的情况下，将自身、自身的衍生物或其它恶意程序扩散到正常设备。具体数据如图 16 所示。数据来源：北京智游网安科技有限公司（爱加密）图 16 App 恶意程序类型分布情况（一款 App 可能存在多种病毒）流氓行为,82.02%信息窃取,9.10%恶意传播,5.25%资费消耗,2.22%远程控制,1.25%恶意扣费,0.15%系统破坏,0.01%移动金融应用安全白皮书（2019 年）20 从地域分布来看，除 19 款归属省份不明的 App 之外，其余 8198款受到恶意程序感染的 App 分布除香港外的 33 个省级行政区（受到恶意程序感染的 App 地域分布数据参见附录 E）。其中，江苏受到恶意程序感染的 App 数量最多，占全部受到恶意程序感染的 App 总数的 37.63%；广东其次，有 30.16%的 App 受到恶意程序感染；北京排行第三，有 12.56%的 App 受到恶意程序感染。受到恶意程序感染的App 的地域分布情况如图 17 所示：数据来源：北京智游网安科技有限公司（爱加密）图 17 受到恶意程序感染的 App 区域分布情况 从 App 细分领域角度来看，受到恶意程序感染的 App 数量前三移动金融应用安全白皮书（2019 年）21 的类别分别为消费金融类、彩票类、P2P 金融类 App，分别有 4166款、2378 款、949 款 App 已经受到恶意程序感染。而从各个分类受到恶意程序感染的 App 比例来看，消费金融类、彩票类、P2P 金融类受到恶意程序感染的比例相对较高，均超过 6%。具体数据如图 18 所示。数据来源：北京智游网安科技有限公司（爱加密）图 18 各细分领域受到恶意程序感染的 App 分布情况（三）（三）使用第三方使用第三方 SDKSDK 引入安全风险引入安全风险 SDK 是 Software Development Kit 的缩写，即“软件开发工具包”，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。随着移动互联网的快速迭代发展，越来越多的服务提供商选择将其服务封装成 SDK 供开发者使用。而开发者为了提升效率、降低成本，往往会在开发过程中嵌入第三方 SDK。但是，第三方 SDK 常存在安全漏0.77%1.66%0.83%0.61%1.77%2.63%2.29%2.11%3.64%2.69%6.25%6.56%8.50%0.00%11.00%22.00%33.00%44.00%55.00%互联网第三方支付外汇数字货币证券保险银行股票财务管理其他投资理财P2P金融彩票消费金融病毒APP占比领域渗透率移动金融应用安全白皮书（2019 年）22 洞、恶意程序、隐蔽收集个人信息等安全问题，进而给嵌入 SDK 的App 带来相应的安全隐患。据爱加密发布的全国移动应用 SDK 市场占有率分析报告统计，有超过 60%的 SDK 含有多种漏洞，且由于 SDK 被广泛使用到大量 App 中，漏洞造成的影响范围极广。不法分子可以通过制作、发布、吸引 App 开发者嵌入含有恶意代码的 SDK，造成短时间、大范围的恶意程序传播和感染，且此类恶意程序具有很强的隐蔽性和对抗杀毒软件的能力。SDK 作为独立的软件开发工具包，具有收集个人信息的能力，但 SDK 收集哪些个人信息，用户往往难以感知，甚至 App开发者也未必知晓，给用户个人信息安全带来严重威胁。报告团队观测发现，有27300款金融行业App嵌入了第三方SDK，占全部金融行业 App 的 20.48%。这些 App 共嵌入 104005 个第三方SDK，平均每款 App 嵌入 3.8 个。金融行业 App 第三方 SDK 使用情况如图 19 所示。数据来源：北京智游网安科技有限公司（爱加密）图 19 不同 SDK 个数区间对应的 App 分布情况 12345678910111213APP占比38.83%9.53%3.58%2.72%23.12%10.51%1.88%0.93%0.63%0.20%2.43%5.42%0.20%SDK数量占比 10.19%5.00%2.82%2.86%30.35%16.55%3.45%1.96%1.50%0.52%7.01%17.09%0.69%0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%40.00%移动金融应用安全白皮书（2019 年）23 从 App 使用的 SDK 类型来看，金融行业与全行业在 SDK 使用类型上有较大差异。金融行业 App 使用排名前三的 SDK 分别是推送类、统计类和社交类，占比分别为 73.11%、9.83%和 8.70%；全行业App 使用排名前三的 SDK 为框架类、广告类和社交类，占比分别为42.98%、12.86%和 11.60%。而框架类和广告类 SDK 在金融行业 App的 SDK 使用占比仅有 3.42%和 0.28%。具体数据如图 20 所示。基于以上研究发现，与金融交易高度相关的支付类 SDK 在金融行业 App 的使用频次相对较低，而推送类 SDK 在金融行业 App 中使用十分广泛，安全风险问题需要重点关注。数据来源：北京智游网安科技有限公司（爱加密）图 20 全行业和金融行业 App 使用的各类 SDK 分布对比（四）（四）违规索权带来的隐私泄露风险违规索权带来的隐私泄露风险 敏感权限获取和隐私信息泄漏是近年来 App 安全关注和防范的42.98%12.86%11.60%10.68%9.38%6.51%5.47%0.52%3.42%0.28%8.70%9.83%4.66%73.11%0.00%0.01%0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%框架类广告类社交类统计类支付类推送类地图类音视频类全行业金融行业移动金融应用安全白皮书（2019 年）24 重点。App 索取用户设备的敏感权限和用户的隐私信息，可能导致用户设备被植入恶意程序、用户账户和隐私信息泄露等一系列安全风险。本次调研抽样选取了 12 款下载量过亿的典型金融行业 App，分别对敏感权限的获取情况和在隐私政策方面存在的问题进行了分析，发现多款 App 存在不同程度的超范围索取用户权限的情况，在隐私政策方面也存在多种违法违规行为，给用户个人隐私信息安全带来了隐患。1超范围获取敏感权限 研究发现，12 款 App 均存在不同程度的超范围权限采集现象。这些 App 共获取了 29 种高敏感权限、15 种中敏感权限、33 种低敏感权限。不同敏感等级的隐私权限获取数量如表 1 所示。表 1 调研的 12 款 App 隐私权限获取情况 序号序号 AppApp 名称名称 版本号版本号 包名包名 所属渠道所属渠道 高高 敏感敏感 中中 敏感敏感 低低 敏感敏感 1 中国建设银行 4.2.0 com.chinamworld.main 华为应用市场 18 10 22 2 交通银行 3.3.10 com.bankcomm.Bankcomm 华为应用市场 18 10 22 3 工银融 e 联 3.4.0 com.icbc.im 华为应用市场 16 10 19 4 中国工商银行 4.1.0.8.1 com.icbc 华为应用市场 15 9 20 移动金融应用安全白皮书（2019 年）25 序号序号 AppApp 名称名称 版本号版本号 包名包名 所属渠道所属渠道 高高 敏感敏感 中中 敏感敏感 低低 敏感敏感 5 华为钱包 9.0.3.300 com.huawei.wallet 华为应用市场 15 9 16 6 中国农业银行 4.1.0 com.android.bankabc iTools 16 9 14 7 中国银行 6.0.6 com.chinamworld.bocmbci 华为应用市场 10 9 19 8 全能中彩彩票 3.2.8 com.qnzc.sls_App.activity 应用宝 12 7 16 9 快乐宝彩票 3.2.8 com.klb.sls_App.activity 应用宝 12 7 16 10 彩运宝彩票-快 3 3.2.8 com.cyb.sls_App.activity 应用宝 12 7 16 11 草根投资 4.2.0 .cgtz 其他 10 11 12 12 无忧钱包 1.1.6 com.chuangle.clwy 应用宝 4 2 7 数据来源：北京智游网安科技有限公司（爱加密）9 款及 9 款以上的应用获取的权限类型有 25 种，其中，高敏感权限 8 种，中敏感权限 7 种，低敏感权限 10 种。详细数据如表 2 所移动金融应用安全白皮书（2019 年）26 示。表 2 9 款及 9 款以上 App 获取的权限列表 序号序号 权限类别权限类别 敏感度敏感度 权限名权限名 获取权限获取权限AppApp 占比占比 1 读取手机状态和身份 高敏感 READ_PHONE_STATE 100%2 修改或删除存储卡中的内容 高敏感 WRITE_EXTERNAL_STORAGE 100%3 读取系统日志 高敏感 READ_LOGS 91.67%4 拍摄照片和录制视频 高敏感 CAMERA 91.67%5 修改系统设置 高敏感 WRITE_SETTINGS 91.67%6 发起电话呼叫 高敏感