版权声明本白皮书版权属于中国信息通信研究院云计算与大数据研究所和安全研究所,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:《移动金融应用安全白皮书(2019年)》”。违反上述声明者,本院将追究其相关法律责任。编委会编委会成员:何阳、廖璇、陈湉、郑威、许一骏、唐明环、董欣明、曹会宾、吕衎、马聪、姜鼎、张学阳、郑晓玲、王榕、郭训平、程智力、马志民、谢勇、魏超、史博、邱寅峰、龙述兵、张融、李洋、苏云参与单位:中国信息通信研究院、北京智游网安科技有限公司(爱加密)、北京顶象技术有限公司、信通院安全所&腾讯安全联合实验室—产业互联网安全实验室、大数据协同安全技术国家工程实验室—金融行业安全研究中心前言近年来,以移动互联网技术为代表的新一代信息新技术发展迅猛,智能终端得到了广泛的普及,信息化浪潮蓬勃兴起,移动应用在国内甚至全球诸多产业发展中的重要地位逐渐显现。据AppAnnie发布的《2019年移动市场报告》数据显示,2018年全球移动应用下载量1940亿,其中我国的移动应用下载量占比将近50%,是目前全球移动应用下载量最大的国家。在金融领域,随着移动支付的普及,用户通过智能移动终端进行投融资、借贷、交易支付等活动愈加频繁,大部分的金融机构平台通过移动App开展业务,移动金融应用的重要性和价值逐渐凸显。移动金融就是将移动性赋予金融服务业,实现金融服务业务移动化。移动金融包括银行、证券、保险等传统金融服务向移动端的转移,也包括移动互联网借贷、理财等新兴金融服务。移动金融能有效提升运营效率,降低管理成本,为客户提供更加便捷、实时、高效的服务。然而,移动金融应用在给大众生活带来巨大便利的同时,也带来了巨大的安全挑战。移动端操作系统,特别是安卓操作系统,由于其系统本身的开源性,系统漏洞更容易被发现和利用,增加了App本身的脆弱性;部分金融行业App开发者安全意识淡薄,防护技术手段落后,开发流程不规范,更新修复不及时等,也增加了移动金融App的安全风险;同时,由于移动App能够收集到大量精准且有价值的用户信息,导致越来越多的移动金融App成为不法分子的攻击目标。据《全球关键信息基础设施网络安全状况分析报告(2017)》统计,金融行业是国家关键信息基础设施行业中遭受网络攻击最多的行业,移动金融应用的安全问题亟需关注。本白皮书聚焦于移动金融应用的安全,详细梳理了移动金融应用安全的政策和技术背景;从地域、...
