信通院发布金融行业App安全报告:四大银行均涉嫌超范围索权科技
近日,中国信息通信研究院发布《2019年金融行业移动App安全观测报告》(简称《报告》)。科技新闻
《报告》检测了13万余款金融行业App,其中七成存在高危漏洞。在抽查的12款下载量过亿的App中,四大银行均存在超范围获取权限的情况。
7成多App存在高危漏洞
《报告》对133327款金融类App进行了测评,涉及消费金融类、彩票类、P2P金融类等13类。
在所有App中,共检测出近200万条漏洞记录,逾七成存在高危漏洞。平均每款App存在 20.3 个安全漏洞,包括6.7 个高危漏洞。
从App分类来看,互联网第三方支付和信托类App的高危漏洞问题较为突出,存在高危漏洞 App 的比例为 93.87%和 93.44%。保险、投资理财、外汇等分类的App高危漏洞问题也相对严重,存在高危漏洞的 App 比例超过 85%。
《报告》称,攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等,对App安全具有严重威胁。其中,排名前三的高危漏洞均存在导致App数据泄露的风险,比如账号密码、短信内容等被窃取。
金融、彩票、P2P类App被恶意程序感染最多
《报告》指出,在所有被检测的App中,共有8217款被检测出恶意程序,感染率为6.16%。在被感染的App中,82.02%的App被具有流氓行为的恶意程序感染,可在用户未授权的情况下,弹出广告窗口等;9.1%的App受到具有信息窃取行为的恶意程序感染,科技新闻这些恶意程序可窃取用户短信、通讯录、位置信息等敏感信息。
App恶意程序类型分布情况。
从App分类来看,金融类、彩票类和P2P类被恶意程序感染的最多,分别有有 4166 款、2378 款、949 款。
四大银行App涉嫌超范围获取权限
近来,敏感权限和隐私信息泄露是App安全防范关注的焦点。《报告》指出,此次调研对12款下载量过亿的App进行敏感权限获取情况和隐私政策方面存在的问题进行了分析。
结果显示,包括中国建设银行、中国交通银行、中国银行、中国工商银行、科技新闻中国农业银行等在内的12款App均存在不同程度超范围获取权限的情况。它们惯常获取的高敏感权限包括读取录制音频、拍摄照片和录制视频、读取系统日志等。
调研的12款App隐私权限获取情况。
在隐私条款中,一些App存在不合理的条款。比如某App要求用户注销账户时提供身份证正反面照片、手持身份证上半身照片、需注销的手机号及手机营业厅“个人信息”页面截图等。
《App违法违规收集使用个人信息自评估指南》规定,App应支持用户注销账号,且不得收集与业务功能无关的个人信息。《报告》指出,上述App的注销要求不仅增加了注销难度,还违规获取个人隐私。
文/南都个人信息保护研究中心研究员 尤一炜