您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给李勤
发送

0

信通院评测了13万个金融类App,70%存高危漏洞

本文作者: 李勤 2019-11-02 10:16
导语:2019金融行业移动App安全观测报告

语音播放文章内容

由深声科技提供技术支持

现在,无论是借钱、投资还是交易支付,大家用金融类 App 的频率大大增加,这些和“钱”有关的 App 到底安全性几何?雷锋网注意到,最近,中国信通院发布了一份《2019金融行业移动App安全观测报告》。

截止 2019 年 9 月 11 日,中国信通院的报告团队从 232 个安卓应用市场中收录了 133327 款金融行业 App。

从观测对象的地域分布来看,有 130022 款可以明确归属省份,全国 34 个省级行政区均有金融行业 App 生成,平均每个省份生成金融行业 App3824 款。 金融行业 App 地域分布不均,广东、湖北和北京分别以 29.60%、21.30%和 12.96%的高占比排名金融行业 App 生成数量前三,而西藏、青海 等 6 省份总占比仅有 0.18%。 

从金融行业 App 细分领域来看,借贷类 App 包揽前三名中的两个席位。其中,面向个人用户的消费金融类 App 数量最多,占观测总数的 36.74%;面 向企业的 P2P 金融类 App 排名第三,占观测总数的 11.38%;彩票类App 排名第二,占观测总数的 27.19%。

不同细分领域 App 占比如图所示:

信通院评测了13万个金融类App,70%存高危漏洞

重头戏来了,和雷锋网一起看看,这些金融 App 的风险集中表现在哪里。

1.以数据泄露为代表的高危漏洞风险

在本次观测中,发现有 70.22%的金融行业 App 存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等,对 App 安全具有严重威胁。其中 Top3 的高危漏洞均存在导致 App 数据泄露的风险。

2.以流氓行为代表的恶意程序感染风险

本次观测发现,共有 8217 款金融行业 App 被检测出恶意程序,感染率为 6.16%,主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为,给 App 用户的个人隐私及财产安全带来危害。其中受到流氓行为恶意程序感染的 App 占 比最多,约为 82.02%。 

3.使用第三方 SDK 引入安全风险

本次观测发现,共有 20.48%的金融行业 App 被嵌入了第三方SDK,嵌入的 SDK 数量共计高达 104005 个。在嵌入 SDK 的金融行业App 中,有 45%的 App 嵌入了 5 个及以上的 SDK。由于第三方 SDK 存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险, 使得金融行业 App 也面临一定的安全隐患。 

4.违规索权带来的隐私泄露风险

本次观测中选取了具有典型代表性的 12 款下载量过亿的金融行业 App 进行抽样分析经研究发现,多款 App 存在不同程度的超范 围索取用户权限的情况,在隐私政策方面也存在多种违法违规行为,给用户个人隐私信息安全带来隐患。App 用户的个人隐私信息一旦泄露,将带来严重的后果,如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等,会严重损害 App 用户的利益。

5.安全加固不足暴露安全风险

本次观测发现,仅有 17.08%的金融行业 App 进行了安全加固,超过 80%的金融行业 App 在应用市场“裸奔”,未进行任何的安全 加固。然而,基于 Java 语言编写的安卓应用程序如不进行加固,则其打包的 APK 文件很容易被反编译工具进行逆向分析,进而暴露风险。 

雷锋网注:详情可点击完整报告

雷峰网版权文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑、作者

跟踪互联网安全、黑客、极客。微信:qinqin0511。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说