2019金融APP安全评估排名

 

前言

移动互联网的发展和大量APP应用的出现极大的方便了人们的生活,但与此同时也带来了不容忽视的网络安全与个人隐私信息泄露等问题。调查显示,亚太地区金融行业的106款APP中85%的应用没有通过基本的安全检测,50%的应用至少存在4至6个漏洞,金融应用仿冒、金融页面钓鱼攻击、系统漏洞等问题层出不穷。根据爱加密的抽样统计,目前国内各类应用市场上架的3289款主流金融APP中,平均每个APP存在4个以上的安全风险项,其中风险较高的项目约1.8个,甚至有少数APP存在恶意流氓行为,在不告知用户情况的前提下自动下载程序及点击应用内广告自动下载程序,以及通过静默下载等形式偷偷安装程序等恶意行为。同时,近来连续发生的个人信息泄露事件给用户带来越来越严重的损失。

为促进行业和个人用户加强手机应用安全和个人信息保护,深圳市网络与信息安全行业协会联合爱加密等安全厂商,对目前(截至2019年4月)金融行业应用广泛的APP从应用安全及个人信息保护规范性等方面进行综合评估,并给出了具体排名,供行业和相关用户参考。

 

一、评估标准和评估模型

本次评估从APP安全和个人信息保护规范两个方面进行,APP安全评估参照《信息安全技术移动智能终端个人信息保护技术要求》、《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》、《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》、《电子银行业务管理办法》、《电子银行安全评估指引》、《中国金融移动支付客户端技术规范》《中国金融移动支付应用安全规范》、《移动互联网应用软件安全评估大纲》等相关规范进行,个人信息安全保护参考《GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南》、《GB/T 35273-2017 信息安全技术 个人信息安全规范》等标准并确定关键指标进行全面评估,并给出量化结果。本次评估主要模型如下:

 

二、总体评估统计分析

本次评估从目前(截至2019年4月)各大主流应用市场提供的3200多个金融行业类APP中,挑选出用户量较大、较活跃的100个APP进行评估。从本次评估看,当前国内APP在信息安全方面的问题较为突出,平均每个评估APP含有风险项目4.4个,其中风险等级较高的风险项目1.7个,占比为39%,风险等级为中级的风险项目1.8个,占比为42%。

从风险项目的分布看,安全策略类的风险是占比最多的,主要包括SO文件加固、H5文件加固检测等,其次为源文件风险,如Activity最小化特权、Service最小化特权等检测项目风险较多。

在个人信息保护规范性评估方面,本次评估发现还有部分APP存在缺乏隐私政策的问题。对于已经提供用户协议和隐私政策的APP,从信息收集、信息保存、信息使用和安全事件处理几个角度看,大部分APP对于信息收集的内容和使用目的有具体的说明,但仅有部分APP说明了个人信息的收集方式。在信息保存方面,目前APP普遍缺乏对其信息保存的方式、方法、安全手段及自身安全能力等缺乏说明。在信息使用方面,部分APP对于信息的共享、转让和公开披露情形描述不清楚,比如未说明信息共享的具体对象等。在事件处理方面,较多APP忽略了在安全事件处理和管理方面的说明,比如发生安全事件时通过有效途径告知用户及时应对等。

出于对APP应用保护目的,这里不对具体参评APP的具体漏洞类型和存在问题做过多展示和分析。

 

三、金融行业APP安全及信息保护规范性评估排名

根据前述评估标准和评估模型,本次参与评估的金融行业APP安全及个人信息保护规范性综合排名如下:

表 1 金融APP安全评估排名(2019)

补充说明:

本次评估由爱加密提供技术支持,评估结果基于各APP 2019年4月的评估版本和相关文件。

 

四、评估结论与建议

金融APP事关广大用户的钱袋子,但从本次评估结果来看形势不容乐观。对于提供APP应用服务的企业,建议加强安全管理,减少风险项目。加强个人信息保护工作,从信息收集、保存、使用到安全事件处理等各环节建立规范且严密的管理制度,防止个人信息泄露。对于普通用户而言,在选择金融APP时,要特别注意APP权限使用提示,仔细阅读相关政策声明。针对滥用权限获取用户隐私,隐私政策含糊不清甚至没有隐私政策的APP,要谨慎下载。发现异常情况要及时卸载违规APP,并通过正常渠道反馈给监管部门。

(完)