2019（第二屆）中國金融科技產(chǎn)業(yè)峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午舉行的“金融業(yè)網(wǎng)絡信息安全”分論壇上，中國信息通信研究院安全研究所高級研究員姜鼎帶來了《移動金融應用安全白皮書（2019年）》的解讀。

很榮幸由我代表報告團隊為大家解讀《移動金融應用安全白皮書（2019）年》。

白皮書共分五部分：

一、移動金融應用的安全背景

背景1：移動互聯(lián)網(wǎng)高速發(fā)展。截止2019年6月我國手機網(wǎng)民規(guī)模達到8.47億，網(wǎng)民使用手機上網(wǎng)比例高達99%。我國基于安卓系統(tǒng)移動應用超過286萬，其中移動金融應用達到13.3萬。隨著移動互聯(lián)網(wǎng)的高速發(fā)展，應用安全亟待加強，從右下角圖我們能夠看出，移動互聯(lián)網(wǎng)惡意程序的樣本數(shù)量呈現(xiàn)逐年遞增的趨勢。

背景2：網(wǎng)絡安全已經(jīng)上升到國家安全戰(zhàn)略層面。2018年以來美國相繼發(fā)布多份網(wǎng)絡安全政策文件，國家安全局成立網(wǎng)絡安全理事會，歐盟2018年5月正式實施了通用數(shù)據(jù)保護條例。我國習近平總書記講話指出：沒有網(wǎng)絡安全就沒有國家安全，《網(wǎng)絡安全法》等法律法規(guī)和戰(zhàn)略規(guī)劃相繼出臺。此外，澳大利亞、新加坡等其他國家都推出適用于本土的網(wǎng)絡安全戰(zhàn)略和立法。

背景3：金融領域成為網(wǎng)絡安全的重災區(qū)。左圖可以看出33%的網(wǎng)絡攻擊發(fā)生在金融領域，金融領域是網(wǎng)絡攻擊最為集中的一個領域。右圖是網(wǎng)絡攻擊在金融領域造成重大經(jīng)濟損失的幾個典型案例。

在這種背景下，移動金融的應用安全受到政策和監(jiān)管高度重視，出臺一系列重磅政策法規(guī)和標準規(guī)范。其中2019年1月份四部門聯(lián)合成立APP專項治理工作組，在全國范圍內(nèi)組織開展專項治理的活動。

二、移動金融應用的分布情況

移動金融應用從分布來看有三個特點：

1、地域分布不均。移動金融應用覆蓋全國34個省級行政區(qū)，廣東、湖北和北京排名前三，西藏和青海排名靠后。從金融業(yè)分類來看，47%的銀行類APP集中在廣東、北京、湖北、上海這4個省份，69%證券類APP集中在廣東、北京、上海、湖北、浙江這5個省份，53%的保險類APP集中在廣東、北京這兩個省份。也就是說APP主要在經(jīng)濟比較發(fā)達的一些地區(qū)。

2、應用市場的集中度高。我們共研究APP來自232個應用市場，其中59%APP集中在排名前十的應用市場，集中度非常高。

3、借貸類APP占據(jù)半壁江山。消費金融類APP和P2P類APP占我們研究總數(shù)的48%。

三、移動金融應用的安全風險分析

這是白皮書的重要內(nèi)容，我在這里做重點解讀。

我們基于232個安卓應用市場收錄的移動行業(yè)金融APP進行研究歸類為五類安全風險：

1、以數(shù)據(jù)泄露為代表的高危漏洞風險。我們研究發(fā)現(xiàn)，有70%金融行業(yè)APP共存在62.7萬條高危漏洞記錄，平均每款APP有6.7個高危漏洞，攻擊者可以利用這些漏洞來竊取用戶數(shù)據(jù)進行APP仿冒，植入惡意程序和攻擊程序等等。

2、以流氓行為為代表的惡意程序風險。從地域分布來看受到惡意程序干擾APP分布在除了香港以外的33個省級行政區(qū)，其中江蘇、廣東、北京排名前三，受到惡意程序感染APP數(shù)量的80%。共有8217款金融行業(yè)APP被檢測出惡意程序，感染率為6.16%。

3、使用第三方SDK引入的安全風險。超過60%第三方SDK存在安全漏洞，容易被植入惡意程序，同時存在隱蔽收集用戶個人信息等相關安全問題。我們統(tǒng)計，20%金融APP嵌入第三方SDK，從SDK分類來看，全行業(yè)的APP嵌入的SDK主要是集中在框架類SDK，金融類APP是以推送類的SDK為主，這也是值得關注的一個安全風險。

4、違規(guī)索權帶來的隱私安全風險。我們發(fā)現(xiàn)這12款APP均存在不同程度超范圍索取用戶權限的情況，其中有9款以上的APP共同索取權限包括左圖這25類權限，包括8類高敏感度權限、7類中敏感度權限和10類低敏感度權限。此外，APP存在涉嫌違法違規(guī)問題，我選取其中三個典型問題和大家介紹：

第一，缺乏單獨的隱私政策。比如這款借貸類APP的隱私政策是作為用戶注冊服務協(xié)議的一部分，違反了隱私政策需要獨立成文的規(guī)定。

第二，美國站群服務器，涉嫌阻礙用戶刪除個人信息。這款炒股類APP隱私政策里提出滿足以下情形才可以提出刪除APP，違反APP專項治理小組發(fā)布自評估報告里要求的支持用戶刪除個人信信息的規(guī)定。

第三，沒有提供引入第三方SDK的政策。這款金融類APP在它的隱私政策中提出通過它們接入的第三方SDK服務有自己的隱私政策，不受他們隱私政策的約束，免備案服務器，而且他們不承擔任何法律責任，這存在泄露用戶隱私的風險。