《八成金融APP存在数据泄露严重漏洞.docx》由会员分享,可在线阅读,更多相关《八成金融APP存在数据泄露严重漏洞.docx(12页珍藏版)》请在第一文库网上搜索。
1、八成金融APP存在数据泄露严重漏洞目录目录11 .正文12 .超七成金融App存高危漏洞22.1. 超过7成的金融App存在高危漏洞22.2. 非法收集个人信息成为重灾区33 .金融App安全报告:超9成证券、外汇类App存高危漏洞43.1. 前述432证券、外汇类App存在高危漏洞占比超96%53.3. 流氓行为恶意程序感染率增长明显63.4. 统计、社交、框架和地图类SDK占比提升735保险类App在侵害用户权益问题上数量最多74 .金融数据泄露成行业“顽疾”专家建议出台保护法规94.1. 银行未经你的允许,把你的银行流水泄露给他人,你该怎么办?.94.2. 痛点金融数据泄露成行业“顽疾”
2、104.3. 热点金融类App流行背后存隐忧104.4. 重点加快金融消费者权益保护立法111.正文Intertrust发布报告显示,77%的金融应用程序至少存在一个可能导致数据泄露的严重漏洞,81%的金融应用程序会泄漏数据。Intertrust近日发布的一份报告显示,77%的金融应用程序至少存在一个可能导致数据泄露的严重漏洞,81%的金融应用程序会泄漏数据。这份报告发布之际,金融移动应用程序的使用迅速扩增,金融应用程序的用户会话数量在2020年上半年增长了49%。同期,根据VMware的数据,针对金融机构的网络攻击增长了118%。该报告分析了iOS和Android平台平均分布的150多个移动
3、金融应用程序,并提供了对四大金融领域的总体分析:支付、银行、投资/交易和贷款。调查的应用程序来自美国、英国、欧盟、东南亚和印度。分析人员根据OWASP(开放Web应用程序安全项目)移动应用程序安全指南,使用一系列静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)技术对它们进行了分析。该研究的总体结果表明,虽然新冠疫情加速了全球金融渠道数字化和移动非接触式支付等创新技术的转变,但移动金融应用程序的安全性并没有跟上。加密问题是最普遍和最严重的威胁之一,88%的分析应用程序未能通过一项或多项加密测试。这意味着这些金融应用程序中使用的加密很容易被网络犯罪分子破解,可能会暴露机密支付信息
4、和客户数据,并使应用程序代码面临被分析和篡改的风险。其他主要发现:1)接受测试的每个应用程序中都发现了一个或多个安全漏洞;2) 84%的Android应用和70%的iOS应用至少存在一个严重或高危漏洞;3) 81%的金融应用程序泄露数据;4) 49%的支付应用程序容易受到加密密钥提取的影响;5)银行应用程序包含的漏洞比任何其他类型的金融应用程序都多;6)使用代码混淆、篡改检测和白盒加密等应用程序保护技术可以缓解近四分之三的高严重性威胁。2 .超七成金融App存高危漏洞11月4日,工信部宣布开始App侵犯用户权益的特别整备,特别整备时间从即日起至2019年12月20日.据业内人士透露,互助金类A
5、pp已经成为当前个人信息泄露的重大灾区,但在监督压力增大的情况下,互助金类App野蛮发展的时代已经结束2.1, 超过7成的金融App存在高危漏洞根据中国信息通信研究院最近发布的2019年金融行业移动App安全观测报告,截至2019年9月11日,中国信息通信院从232个安卓应用市场收录了13万种以上的金融行业App,观测显示,70.22%的金融行业App存在高风险漏洞,攻击者可以利用这些漏洞窃取用户数据,进行App仿制,嵌入恶意程序,攻击服务等,严重威胁App的安全,其中一些高风险漏洞,甚至存在App数据泄露的风险.从App分类的角度来看,网络第三者支付和信托类App的高风险脆弱性问题突出,保险
6、、投资资产管理等分类的App的高风险脆弱性问题也比较严重各种迹象表明,互金应用已经成为个人信息泄露的重大灾区,中国民生银行(6.260,0.00,0.00%)研究院研究人员,了解研究院专家郭晓禧在接受记者采访时直言不讳.近年来,尽管中国对金融应用程序提出了许多规定,但随着客户、运营、风险等成本的上升,大多数金融贷款应用程序在收集个人信息时没有遵循至少足够的原则.非法收集和使用借款人的个人信息,强制或直接默认阅读通信记录郭晓禧进一步指出,一些平台、借款人、催款公司、媒体、流量方的暗箱操作产生了互助金行业壳公司和内外欺诈问题、恶意逃避债务、暴力催款、敲诈、黑市交易等混乱,这些混乱行为不是非法的地方
7、对此,中国银行(3.720,0.00,0.00%)法学研究会理事肖飒同样指出,互助金类App违法违规情况突出,一方面是自身利益驱动,最常见的是收集个人信息,进行大数据处理,在手机上推送相关信息影响用户,转换过程缓慢,但利益相当大,另一方面,相关法律规范的组合不完善,现在个人信息保护不是法律的空白领域,但法律数量明显不足,特别是没有形成水平保护,刑法的保护很强,但是个人的信息2.2, 非法收集个人信息成为重灾区值得注意的是,目前,关于违反金融类互助金App的问题,工信部、公安厅、App特别管理工作组等多次亮剑据记者不完全统计,仅今年下半年,就有40多家互助金企业因违反App而被命名.具体情况如下
8、:7月8日,工业和信息化部命名18家互联网企业,未披露用户个人信息收集和使用规则,未披露更正信息的渠道,未提供账户注销服务.其中,互助金应用包括暴风金融、51人品贷款、融资360、麦芽贷款、九秒贷款、布丁贷款、水象分期等对违反企业App的整备处罚,监督还在追加.11月4日,工信部宣布开始App侵犯用户权益的特别整备,从现在开始对当前用户反映强烈侵犯用户权益的问题进行了2个月的整备工业和信息化部表示,将重点关注非法收集个人信息、非法使用个人信息、不合理索取用户权限、为用户注销账户设置障碍的四个方面进行标准化工作,未经允许收集个人信息、超范围收集个人信息、未经允许与第三方用户共享信息、强制用户使用
9、定向推广功能、允许使用权限、频繁申请权限、过度索赔权限、为用户账户注销设置障碍的八类问题整改进行时从工信部特别整备时间的要求来看,给机构整备的时间已经很少了.关于整改的进展,记者相继采访了上述被命名的很多互助金App,一部分平台回答说现在已经按照相关规定推出了新版本,另外平台说会按照监督要求按时整改整改期间,互金机构应注意哪些问题?国家互联网金融安全技术专家委员会(以下简称专家委员会)在接受记者采访时,金融类App在采集个人数据方面,应注意数据获得的最小化、必要性原则,专家委员会目前正在考虑利用块链技术开发个人数据安全共享平台,用户自主控制个人数据的许可使用,企业在用户许可下、部门监督下阳光使
10、用个人数据。3 .金融App安全报告:超9成证券外汇类App存高危漏洞3.1, 前述2020-10-2622:26近日,中国信息通信研究院发布2020年数字金融App安全观测报告(简称报告)。报告检测了2万余款金融行业App,超9成App存在安全漏洞。与2019年相比,流氓行为类恶意程序感染率增长明显,广东省受到恶意程序感染的App数量最多。在数字金融App侵害用户权益问题上,保险类App问题数量最多。2020年上半年 2019年图7受到恶意程序感染的App区域分布ToplO32证券、外汇类App存在高危漏洞占比超96%报告对25392款金融行业App进行扫描,共有22884款app存在不同程
11、度的安全漏洞,占比由2019年的73.23%提升至90.12%,且高、中、低个等级安全漏洞占比均有明显增长。从APP分类角度来看,证券类、外汇类App的高危漏洞问题较为突出,存在高危漏洞App的比例高达96%以上。与2019年观测数据相比,银行、消费金融类app的高危占比增长显著。100.00%90.00%80.00%70.00%60.00%50.00%40.00%3000%20.00%10.00%0.00%图3金融行业App各等级漏洞情况从高危漏洞类型来看,2020年上半年的高危漏洞ToplO和2019年的观测结果相比变化不大。其中,系统键盘使用风险泄露、ZipperDown漏洞和SO文件加
12、固检测漏洞首次出现在ToplO,并分别占据了第一、第二和第六位。其中,系统键盘使用风险泄露的app数量占据观测总数的78.52%。移动用户在App的登录、注册、支付等敏感界面输入信息时,使用了不安全的系统键盘,存在数据被拦截与监听的风险,容易导致账号、密码等敏感数据泄露,系统键盘使用风险成为当前App面临的主要安全问题。3.3, 流氓行为恶意程序感染率增长明显报告称,在所有被检测的App中,共有8563款App存在恶意程序,感染率高达29%。其中,具有流氓行为的恶意程序极为突出,占恶意程序总数的93.83%o所谓“流氓行为”,即这类恶意程序对系统没有直接损害,但会严重影响用户体验。包括但不限于
13、在用户不知情或未授权的情况下,自动捆绑安装的;在用户未授权的情况下,弹出广告窗口的;执行用户未授权的其他操作等。2020年上半年,2019年图6App恶意程序类型占比情况值得注意的是,与2019年的观测情况相比,流氓行为类恶意程序感染率增长明显,由82.02%增长到93.92%。隐私窃取类和恶意传播类恶意程序感染率有所下降。从地域分布来看,广东受到恶意程序感染的App数量最多,占全部收到恶意程序感染的App总数的45.21%o从App细分领域角度来看,受到恶意程序感染的App数量前三的类别分别为投资理财、消费金融和数字货币类,分别有2586款、1475款、543款。同时,与2019年的观测数据
14、相比,这三类App感染恶意程序的占比均有大幅提升。3.4, 统计、社交、框架和地图类SDK占比提升随着移动互联网的快速发展,越来越多的服务商选择将其服务封装成SDK(软件开发工具包)供开发者使用。报告称,开发者为提升效率、降低成本,往往会在开发过程中嵌入第三方SDK。但是,第三方SDK常存在安全漏洞、恶意程序、个人信息泄露等安全问题。报告指出,有6435款金融行业App嵌入第三方SDK,占比22.14%。这些App共嵌入22818个第三方,平均每款App嵌入3.5个。图11金融行业App使用的各类SDK占比情况与2019年相比,排名前三的SDK种类并无变化,分别是推送类、统计类和社交类。但值得
15、注意的是,统计类、社交类、框架类和地图类SDK占比均有提升,需加强关注相关类别SDK的安全性问题。报告还指出,金融行业App开发者对于安全加固的重视程度不足,至少进行过一次安全加固的App仅占15.75%,有超过8成的金融行业App未进行过安全加固。35保险类App在侵害用户权益问题上数量最多针对数字金融App侵害用户权益的问题,报告对银行、保险、证券各10款,共计30款金融行业App进行检测。其中,保险类App问题数量最多,占问题总数的47.06%。图15抽样App检测发现问题数量占比检测发现,抽样App中有16款存在“违规收集使用个人信息”的问题,有3款存在“超范围收集个人信息”的问题。有10款存在“频繁索取权限”的问题,3款存在“过度索取权限”;2款存在“强制索取权限”的问题。报告以某银行类App为例,检测发现该应用在启动时,必须要授权使用拍摄照片和录制视频权限以及提