2019(第二届)中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午举行的“金融业网络信息安全”分论坛上,中国信息通信研究院安全研究所高级研究员姜鼎带来了《移动金融应用安全白皮书(2019年)》的解读。
很荣幸由我代表报告团队为大家解读《移动金融应用安全白皮书(2019)年》。
白皮书共分五部分:
一、移动金融应用的安全背景
背景1:移动互联网高速发展。截止2019年6月我国手机网民规模达到8.47亿,网民使用手机上网比例高达99%。我国基于安卓系统移动应用超过286万,其中移动金融应用达到13.3万。随着移动互联网的高速发展,应用安全亟待加强,从右下角图我们能够看出,移动互联网恶意程序的样本数量呈现逐年递增的趋势。
背景2:网络安全已经上升到国家安全战略层面。2018年以来美国相继发布多份网络安全政策文件,国家安全局成立网络安全理事会,欧盟2018年5月正式实施了通用数据保护条例。我国习近平总书记讲话指出:没有网络安全就没有国家安全,《网络安全法》等法律法规和战略规划相继出台。此外,澳大利亚、新加坡等其他国家都推出适用于本土的网络安全战略和立法。
背景3:金融领域成为网络安全的重灾区。左图可以看出33%的网络攻击发生在金融领域,金融领域是网络攻击最为集中的一个领域。右图是网络攻击在金融领域造成重大经济损失的几个典型案例。
在这种背景下,移动金融的应用安全受到政策和监管高度重视,出台一系列重磅政策法规和标准规范。其中2019年1月份四部门联合成立APP专项治理工作组,在全国范围内组织开展专项治理的活动。
二、移动金融应用的分布情况
移动金融应用从分布来看有三个特点:
1、地域分布不均。移动金融应用覆盖全国34个省级行政区,广东、湖北和北京排名前三,西藏和青海排名靠后。从金融业分类来看,47%的银行类APP集中在广东、北京、湖北、上海这4个省份,69%证券类APP集中在广东、北京、上海、湖北、浙江这5个省份,53%的保险类APP集中在广东、北京这两个省份。也就是说APP主要在经济比较发达的一些地区。
2、应用市场的集中度高。我们共研究APP来自232个应用市场,其中59%APP集中在排名前十的应用市场,集中度非常高。
3、借贷类APP占据半壁江山。消费金融类APP和P2P类APP占我们研究总数的48%。
三、移动金融应用的安全风险分析
这是白皮书的重要内容,我在这里做重点解读。
我们基于232个安卓应用市场收录的移动行业金融APP进行研究归类为五类安全风险:
1、以数据泄露为代表的高危漏洞风险。我们研究发现,有70%金融行业APP共存在62.7万条高危漏洞记录,平均每款APP有6.7个高危漏洞,攻击者可以利用这些漏洞来窃取用户数据进行APP仿冒,植入恶意程序和攻击程序等等。
2、以流氓行为为代表的恶意程序风险。从地域分布来看受到恶意程序干扰APP分布在除了香港以外的33个省级行政区,其中江苏、广东、北京排名前三,受到恶意程序感染APP数量的80%。共有8217款金融行业APP被检测出恶意程序,感染率为6.16%。
3、使用第三方SDK引入的安全风险。超过60%第三方SDK存在安全漏洞,容易被植入恶意程序,同时存在隐蔽收集用户个人信息等相关安全问题。我们统计,20%金融APP嵌入第三方SDK,从SDK分类来看,全行业的APP嵌入的SDK主要是集中在框架类SDK,金融类APP是以推送类的SDK为主,这也是值得关注的一个安全风险。
4、违规索权带来的隐私安全风险。我们发现这12款APP均存在不同程度超范围索取用户权限的情况,其中有9款以上的APP共同索取权限包括左图这25类权限,包括8类高敏感度权限、7类中敏感度权限和10类低敏感度权限。此外,APP存在涉嫌违法违规问题,我选取其中三个典型问题和大家介绍:
第一,缺乏单独的隐私政策。比如这款借贷类APP的隐私政策是作为用户注册服务协议的一部分,违反了隐私政策需要独立成文的规定。
第二,涉嫌阻碍用户删除个人信息。这款炒股类APP隐私政策里提出满足以下情形才可以提出删除APP,违反APP专项治理小组发布自评估报告里要求的支持用户删除个人信信息的规定。
第三,没有提供引入第三方SDK的政策。这款金融类APP在它的隐私政策中提出通过它们接入的第三方SDK服务有自己的隐私政策,不受他们隐私政策的约束,而且他们不承担任何法律责任,这存在泄露用户隐私的风险。
5、安全加固不足带来的安全风险。有三个特点:一是加固意识薄弱,仅有17%的行业APP进行了加固;二是加固厂商集中,主要选择360、腾讯、爱加密等12家安全厂商进行了安全加固,其中360和腾讯占比达到了93%;三是借贷类APP加固比例偏低,借贷类APP占据全部金融类APP的大概48%,它们的加固比例却排名最后,这是一个值得关注重点问题。
四、移动金融应用的安全创新思路
我们提了四点创新思路供大家参考:
1、以移动金融应用安全为核心的整体设计,建议APP与系统协同防御作为安全战略关键组成部分,保障APP业务全生命周期的安全。
2、建设符合监管发展的合规检测能力。移动金融面临的监管形势逐步趋严,企业应该配备个人信息安全检测能力和恶意行为检测能力,履行网络安全保护责任与义务,保护公民隐私信息。
3、全生命周期的移动金融应用安全防护策略。建立事前预防、事中决策、事后分析的纵深式防护。
4、主动风险感知替代被动影响的防御思维。
五、移动金融应用的安全前景展望
1、安全政策频出。移动金融应用的安全需要跟基础设施安全齐头并进,以应对更多未知威胁挑战。
2、合规升级合法。数据安全监管加强,移动金融应用如何规避终端数据的泄露风险,保障用户金融信息安全成为安全市场的热点。
3、感知技术升级。随着网络态势监测、大数据分析技术的广泛应用,以感知为核心的主动防御架构将成为移动金融应用安全管理的业务新模式。
以上是我对白皮书的简单解读,谢谢大家!