数字金融App安全观测报告

数字金融App安全观测报告（2020年） 中国信息通信研究院安全研究所 北京智游网安科技有限公司 2020年10月 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院”。违反上述声明者，本院将追究其相关法律责任。 前 言 新型冠状病毒肺炎疫情发生以来，为疏解因疫情冲击造成线下业务难以开展的难题，金融机构大力推进数字化转型，从而促进了数字金融App的进一步应用和普及。然而，App在给大众生活带来巨大便利的同时，也带来了相应的安全隐患。 为了进一步贯彻落实习近平总书记网络强国的战略思想，助力金融行业的平稳安全发展，中国信息通信研究院金融科技安全实验室联合北京智游网安科技有限公司组成研究团队，在有关部门的指导下，依据相关法律法规和文件精神，对基于安卓系统的数字金融App的安全现状进行了观测分析，形成本报告。 本报告研究团队升级了 《2019金融行业移动App安全观测报告》的技术手段和分析维度，经过持续半年的观测，对2020年上半年数字金融App存在的 高危漏洞、恶意程序、使用SDK引入风险以及缺乏有效安全加固等四类主要风险变化情况进行了对比分析，并在工业和信息化部《关于开展纵深推进App侵害用户权益专项整治行动的通知》等顶层设计的文件精神与工作指南的指导下，围绕数字金融App“侵害用户权益”等问题进行了抽样检测与安全研究。 本报告旨在通过对数字金融App进行持续 、全面 、客观的 安全观测与风险分析，为相关监管部门、App开发运营者、应用 分发平台和用户提供数字金融App安全工作的思路与建议，共同 促进数字金融App的网络安全生态体系建设。 目 录 一、数字金融App安全观测背景 ........................................ 1 （一）移动应用安全的政策背景 ........................................ 1 （二）数字金融App的安全现状 ........................................ 3 二、数字金融App安全观测结果 ........................................ 5 （一）观测对象分布情况 .............................................. 5 （二）安全风险对比分析 .............................................. 6 三、数字金融App侵害用户权益专项检测结果 ........................... 15 （一）违规处理用户个人信息 ......................................... 16 （二）设置障碍、频繁骚扰用户 ....................................... 17 （三）应用分发平台责任落实不到位 ................................... 20 四、数字金融App的安全工作思路与建议 ............................... 21 （一）App相关监管部门 ............................................. 21 （二）App开发运营者 ............................................... 21 （三）App应用分发平台 ............................................. 22 （四）App用户 ..................................................... 22 附录A 数字金融App地域分布表 ..................................... 24 附录B Top10高危漏洞说明 .......................................... 25 附录C App恶意程序类型说明 ........................................ 27 附录D 受恶意程序感染的数字金融App地域分布表 ..................... 28 图 目 录 图1 App区域分布Top10 ......................................... 5 图2 不同细分领域App数量及占比 ................................ 6 图3 金融行业App各等级漏洞情况 ................................ 6 图4 不同细分领域高危漏洞App占比情况 .......................... 7 图5 高危漏洞类型分布Top10 ..................................... 8 图6 App恶意程序类型占比情况 ................................... 9 图7 受到恶意程序感染的App区域分布Top10 ...................... 10 图8 各细分领域受到恶意程序感染的App分布情况 ................. 10 图9 各细分领域受到恶意程序感染的App占比情况 ................. 11 图10 不同SDK个数区间对应的App分布情况 ...................... 12 图11 金融行业App使用的各类SDK占比情况 ...................... 12 图12 不同加固厂家服务的App分布 .............................. 13 图13 加固App地域分布Top10 ................................... 14 图14 各金融细分领域App加固分布情况 .......................... 14 图15 抽样App检测发现问题数量占比 ............................ 15 图16 某保险类App超范围收集个人信息 .......................... 17 图17 某银行类App频繁索取权限 ................................ 18 图18 某保险类App过度索取权限 ................................ 19 图19 某银行类App强制索取权限 ................................ 20 图20 某应用分发平台收录的某银行类App存在恶意程序 ............ 20 数字金融App安全观测报告（2020年） 1 一、数字金融App安全观测背景 （一）移动应用安全的政策背景 近年来，随着 新一代信息技术的蓬勃发展，网络空间在促进社会和经济发展，保障和改善民生方面发挥着越来越重要的作 用，网络空间安全在迎来前所未有的发展机遇的同时，也面临着日趋严峻的风险挑战。自十八大以来，以习近平同志为核心的党中央和国务院高度重视网络安全，并形成网络强国的战略思想。习近平总书记指出，“没有网络安全就没有国家安全”，将网络安全的重要性提升至国家战略层面。 2019年，中央网信办、工业和信息化部、公安部、国家市场监督管理总局等行业监管部门重拳出击，对App违法违规收集使用个人信息行为采取“零容忍”政策 ，成立专项组开展专项治理行动，陆续“点名”几个批次的违规违法App，责令违规App进行整 改，体现了监管部门对综合治理App网络安全的决心。 2019年11月，中国人民银行发布了《关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》（银发〔2019〕237号 ），并随通知发布了《移动金融客户端应用软件安全管理规范》，要求各金融机构提升客户端软件的安全防护能力，加强个人金融信息保护，提高风险监测能力，健全投诉处理机制等。 2019年12月，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四个部门联合印发《App违法违规收集使 数字金融App安全观测报告（2020年） 2 用个人信息行为认定方法》， 为监督管理部门认定App违法违规收集使用个人信息行为提供依据，为App运营者自查自纠和网民社会监督提供指引。 2020年2月，中国人民银行发布了《个人金融信息保护技术规范》，要求与个人金融信息相关的客户端应用软件及应用软件开发工具包（SDK）应符合《移动金融客户端应用软件安全管理规范》《网上银行系统信息安全通用规范》客户端应用软件有关安全技术要求，并在上线前进行安全评估。 2020年4月，中国人民银行办公厅发布了《关于开展金融科技应用风险专项摸排工作的通知》（银办发〔2020〕45号），要求各地人民银行分支机构及相关监管机构依据相关法律制度、标准规范开展专项摸排工作，“ 移动金融客户端应用软件”成为主要摸排对象之一。 2020年7月，工业和信息化部印发《关于开展纵深推进App侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号），决定深入推进技管结合，加强监督检查，通过专项整治行动切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境。 2020年9月，全国信息安全标准化技术委员会先后发布《移动互联网应用程序（App）系统权限申请使用指南》《移动互联网应用程序（App）个人信息保护常见问题及处置指南》等一系列网络安全标准实践指南，进一步帮助App运营者 规范App申请使用系统权限行为，采取相应措施持续提升App个人信息保护水平，为用户营造 数字金融App安全观测报告（2020年） 3 绿色、安全、可信的App使用环境。 App网络安全及个人信息保护相关政策法规和标准规范的密集出台，体现了政府相关部门对于保障App网络安全的重视和治理App安全风险的决心，也侧面反映出当前App网络 安全面临的严峻形势。 （二）数字金融App的安全现状 近年来，随着移动互联网的快速发展和移动支付的广泛普及，移动互联网应用程序（App）已经深入应用到大众生活的方方面面，并发挥着不可或缺的重要作用。据中国互联网络信息中心（CNNIC）发布的第46次《中国互联网络发展状况统计报告》显示，截至2020年6月，我国手机网民规模已达9.32亿，网民使用手机上网的比例高达99.2%。 新型冠状病毒肺炎疫情发生以来，为保证国民经济运行平稳发展，相关金融监管部门多次强调加强线上业务服务，大力倡导金融机构业务数字化转型，鼓励金融 机构引导 企业和个人客户通过互联网、App等线上方式办理金融业务，以疏解因疫情冲击造成线下业务难以开展的难题，从而促进了金融行业App的进一步应用和普及。然而，App在给大众生活带来巨大便利的同时，也带来了相应的安全隐患。 近两年，App安全已成为多方关注的重点，各监管部门正加紧完善App网络安全相关的法律法规和标准规范体系，对企业监督执法力度持续加强，但数字金融App的安全形势依然严峻。某些第三方应用分发平台管理存在漏洞，对App上线审核不规范的情况时有发生；部分金融行业App开发 运营者法律意识和安全意识淡薄，未对 数字金融App安全观测报告（2020年） 4 App进行安全加固，或者技术手段落后，为了提升效率、降低成本，往往会在开发过程中嵌入第三方SDK，导致App存在高危漏洞或恶意程序等风险；部分App用户缺乏安全意识，未主动采取安全防护，或存在不安全的使用习惯，往往会带来信息泄露等安全隐患。据国家互联网应急中心（CNCERT）发布的《2019年