互联网行业：移动金融应用安全白皮书（2019年）

版权声明 本白皮书版权属于中国信息通信研究院云计算与大数据研究所和安全研究所，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：《移动金融应用安全白皮书（2019年）》”。违反上述声明者，本院将追究其相关法律责任。 编委会 编委会成员：何阳、廖璇、陈湉、郑威、许一骏、唐明环、董欣明、曹会宾、吕衎、马聪、姜鼎、张学阳、郑晓玲、王榕、郭训平、程智力、马志民、谢勇、魏超、史博、邱寅峰、龙述兵、张融、李洋、苏云 参与单位：中国信息通信研究院、北京智游网安科技有限公司（爱加密）、北京顶象技术有限公司、信通院安全所&腾讯安全联合实验室—产业互联网安全实验室、大数据协同安全技术国家工程实验室—金融行业安全研究中心 前 言 近年来，以移动互联网技术为代表的新一代信息新技术发展迅猛，智能终端得到了广泛的普及，信息化浪潮蓬勃兴起，移动应用在国内甚至全球诸多产业发展中的重要地位逐渐显现。据App Annie发布的《2019年移动市场报告》数据显示，2018年全球移动应用下载量1940亿，其中我国的移动应用下载量占比将近50%，是目前全球移动应用下载量最大的国家。 在金融领域，随着移动支付的普及，用户通过智能移动终端进行投融资、借贷、交易支付等活动愈加频繁，大部分的金融机构平台通过移动App开展业务，移动金融应用的重要性和价值逐渐凸显。移动金融就是将移动性赋予金融服务业，实现金融服务业务移动化。移动金融包括银行、证券、保险等传统金融服务向移动端的转移，也包括移动互联网借贷、理财等新兴金融服务。移动金融能有效提升运营效率，降低管理成本，为客户提供更加便捷、实时、高效的服务。 然而，移动金融应用在给大众生活带来巨大便利的同时，也带来了巨大的安全挑战。移动端操作系统，特别是安卓操作系统，由于其系统本身的开源性，系统漏洞更容易被发现和利用，增加了App本身的脆弱性；部分金融行业App开发者安全意识淡薄，防护技术手段落后，开发流程不规范，更新修复不及时等，也增加了移动金融App的安全风险；同时，由于移动App能够收集到大量精准且有价值的用户信息，导致越来越多的移动金融App成为不法分子的攻击目标。据 《全球关键信息基础设施网络安全状况分析报告（2017）》统计，金融行业是国家关键信息基础设施行业中遭受网络攻击最多的行业，移动金融应用的安全问题亟需关注。 本白皮书聚焦于移动金融应用的安全，详细梳理了移动金融应用安全的政策和技术背景；从地域、应用市场和细分行业三个维度分别介绍了移动金融App的分布情况；重点剖析了移动金融App面临的高危漏洞、恶意程序、SDK使用安全、违规索权、缺乏加固五大安全风险；最后，提出了移动金融App安全建设的新思路和应对策略，并对移动金融应用安全未来的发展趋势进行了展望。 目 录 一、移动金融应用的安全背景 ........................................ 1 （一）移动互联网高速发展 ........................................................................................ 1 （二）移动应用监管政策日趋严格 ............................................................................ 3 （三）5G时代移动金融应用发展 .............................................................................. 8 二、移动金融应用的分布情况 ....................................... 10 （一）移动金融应用的地域分布不均 ...................................................................... 10 （二）移动金融应用的应用市场集中度高 .............................................................. 11 （三）借贷领域移动应用持续发展占据半数市场 .................................................. 11 （四）典型细分行业移动应用分布情况 .................................................................. 12 三、移动金融应用的安全风险 ....................................... 17 （一）以数据泄露为代表的高危漏洞风险 .............................................................. 17 （二）以流氓行为为代表的恶意程序风险 .............................................................. 19 （三）使用第三方SDK引入安全风险 ..................................................................... 21 （四）违规索权带来的隐私泄露风险 ...................................................................... 23 （五）安全加固不足带来的安全风险 ...................................................................... 32 四、移动金融应用安全创新思路 ..................................... 36 （一）以移动金融应用安全为核心的整体设计 ...................................................... 36 （二）建设符合监管发展的合规检测能力 .............................................................. 37 （三）全生命周期的移动金融应用安全防护策略 .................................................. 38 （四）主动风险感知替代被动响应的防御思维 ...................................................... 39 五、移动金融应用安全前景展望 ..................................... 42 （一）安全政策频出，移动应用安全与基础设施安全齐头并进 .......................... 42 （二）合规升级合法，移动金融应用隐私数据安全市场火热 .............................. 42 （三）感知技术升级，驱动安全业务智能创新 ...................................................... 43 附录A 金融行业APP地域分布表 .................................... 44 附录B 金融行业APP分类逻辑及典型应用 ............................ 46 附录C TOP10高危漏洞说明 ........................................ 49 附录D APP恶意程序类型解释 ...................................... 52 附录E 受到恶意程序感染的APP地域分布表 .......................... 53 移动金融应用安全白皮书（2019年） 1 一、移动金融应用的安全背景 （一）移动互联网高速发展 据中国互联网络信息中心（CNNIC）发布的第44次《中国互联网络发展状况统计报告》显示，截至2019年6月，我国网民规模达8.54亿，较2018年底增长2598万，互联网普及率达61.2%，较2018年底提升了1.6个百分点；我国手机网民规模达8.47亿，较2018年底增长2984万，网民使用手机上网的比例达99.1%，较2018年底提升了0.5个百分点，具体数据如图1所示。与五年前相比，移动宽带平均下载速率提升约6倍，手机上网流量资费水平降幅超90%。“提速降费”推动移动互联网流量大幅增长，用户月均使用移动流量达7.2GB，为全球平均水平的1.2倍；移动互联网接入流量消费达553.9亿GB，同比增长107.3%。以手机为中心的智能设备，成为“万物互联”的基础，车联网、智能家电促进“住行”体验升级，构筑个性化、智能化应用场景。移动互联网服务场景不断丰富、移动终端规模加速提升、移动数据量持续扩大，为移动互联网产业创造更多价值挖掘空间。 移动金融应用安全白皮书（2019年） 2 数据来源：CNNIC中国互联网络发展状况统计调查 图1 手机网民规模及其占网民比例 截至2019年10月，我国本土市场上监测到的移动应用程序（App）在架数量为525万款，基于安卓系统的第三方应用商店安卓移动应用数量超过286万款，占比为54.4%，苹果商店（中国区）移动应用数量约239万款，微信小程序57万款，微信公众号44万个。具体数据如图2所示。 数据来源：北京智游网安科技有限公司（爱加密） 图2 中国市场移动App数量统计 移动金融应用安全白皮书（2019年） 3 截至2019年10月，游戏类应用数量约141万款，占比达50%；生活服务类应用规模达54.2万款，排名第二，占比为19%；电子商务类应用排名第三，规模为42.1万款，占比为15%，金融行业相关移动应用达到13.3万款，成为应用市场中极具分量的专项类别。具体数据如图3所示。 数据来源：北京智游网安科技有限公司（爱加密） 图3 中国市场移动应用类型统计 （二）移动应用监管政策日趋严格 1.金融监管部门发布多项规定保障App安全 近年来，金融科技行业安全整体态势稳定，监管框架逐步完善。中国金融科技行业的发展已从单纯的市场开拓阶段进入到了基于安 移动金融应用安全白皮书（2019年） 4 全风险防范的发展阶段。未来,随着监管框架与安全意识进一步提高，金融科技行业的安全性将进一步提升，整个行业也将实现平稳增长。 2017年6月，中国人民银行印发了《中国金融业信息技术“十三五”发展规划》，确立了“十三五”期间金融业信息技术工作的发展目标，提出将健全网络安全防护体系，增强安全生产和安全管理能力作为重点任务之一，要求不仅要提高金融信息系统安全生产能力，提高金融网络安全管理水平，还要全面推进金融业落实《中华人民共和国网络安全法》（以下简称《网络安全法》）。 2019年3月，《中国人民银行关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》发布，提出健全紧急止付和快速冻结机制，加强账户实名制管理等要求，抑制金融欺诈等犯罪活动的发生。 2019年8月22日，中国人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》（以下简称《规划》），明确提出未来三年金融科技工作的指导思想、基本原则、发展目标、重点任务和保障措施。《规划》在提升金融业务风险防范能力上，明确提出组织建设统一的金融风险监控平台，引导金融机构加强金融领域App与门户网站实名制和安全管理，增强网上银行、手机银行、直销银行等业务系统的安全监测防护水平，提升对仿冒App、钓鱼网站的识别处置能力。 移动金融应用相关法律法规的密集颁布和出台，体现了政府对保 移动金融应用安全白皮书（2