現(xiàn)在，無論是借錢、投資還是交易支付，大家用金融類 App 的頻率大大增加，這些和“錢”有關(guān)的 App 到底安全性幾何？雷鋒網(wǎng)注意到，最近，中國信通院發(fā)布了一份《2019金融行業(yè)移動App安全觀測報告》。

截止 2019 年 9 月 11 日，中國信通院的報告團隊從 232 個安卓應用市場中收錄了 133327 款金融行業(yè) App。

從觀測對象的地域分布來看，有 130022 款可以明確歸屬省份，全國 34 個省級行政區(qū)均有金融行業(yè) App 生成，平均每個省份生成金融行業(yè) App3824 款。 金融行業(yè) App 地域分布不均，廣東、湖北和北京分別以 29.60%、21.30%和 12.96%的高占比排名金融行業(yè) App 生成數(shù)量前三,而西藏、青海 等 6 省份總占比僅有 0.18%。 

從金融行業(yè) App 細分領(lǐng)域來看，借貸類 App 包攬前三名中的兩個席位。其中，面向個人用戶的消費金融類 App 數(shù)量最多，占觀測總數(shù)的 36.74%；面 向企業(yè)的 P2P 金融類 App 排名第三，占觀測總數(shù)的 11.38%；彩票類App 排名第二，占觀測總數(shù)的 27.19%。

不同細分領(lǐng)域 App 占比如圖所示：

重頭戲來了，和雷鋒網(wǎng)一起看看，這些金融 App 的風險集中表現(xiàn)在哪里。

1.以數(shù)據(jù)泄露為代表的高危漏洞風險

在本次觀測中，發(fā)現(xiàn)有 70.22%的金融行業(yè) App 存在高危漏洞，攻擊者可利用這些漏洞竊取用戶數(shù)據(jù)、進行 App 仿冒、植入惡意程序、攻擊服務(wù)等,對 App 安全具有嚴重威脅。其中 Top3 的高危漏洞均存在導致 App 數(shù)據(jù)泄露的風險。

2.以流氓行為代表的惡意程序感染風險

本次觀測發(fā)現(xiàn)，共有 8217 款金融行業(yè) App 被檢測出惡意程序，感染率為 6.16%，主要涉及的惡意行為包括流氓行為、信息竊取、惡意傳播、資費消耗、遠程控制等多種惡意行為，給 App 用戶的個人隱私及財產(chǎn)安全帶來危害。其中受到流氓行為惡意程序感染的 App 占 比最多，約為 82.02%。 

3.使用第三方 SDK 引入安全風險

本次觀測發(fā)現(xiàn)，共有 20.48%的金融行業(yè) App 被嵌入了第三方SDK，嵌入的 SDK 數(shù)量共計高達 104005 個。在嵌入 SDK 的金融行業(yè)App 中，有 45%的 App 嵌入了 5 個及以上的 SDK。由于第三方 SDK 存在隱蔽收集用戶信息、自身安全漏洞易被不法分子利用等安全風險， 使得金融行業(yè) App 也面臨一定的安全隱患。 

4.違規(guī)索權(quán)帶來的隱私泄露風險

本次觀測中選取了具有典型代表性的 12 款下載量過億的金融行業(yè) App 進行抽樣分析經(jīng)研究發(fā)現(xiàn)，多款 App 存在不同程度的超范 圍索取用戶權(quán)限的情況，在隱私政策方面也存在多種違法違規(guī)行為，給用戶個人隱私信息安全帶來隱患。App 用戶的個人隱私信息一旦泄露，將帶來嚴重的后果，如騷擾電話、信息詐騙、惡意推銷、網(wǎng)絡(luò)情感詐騙等，會嚴重損害 App 用戶的利益。

5.安全加固不足暴露安全風險

本次觀測發(fā)現(xiàn)，僅有 17.08%的金融行業(yè) App 進行了安全加固，超過 80%的金融行業(yè) App 在應用市場“裸奔”，未進行任何的安全 加固。然而,基于 Java 語言編寫的安卓應用程序如不進行加固，則其打包的 APK 文件很容易被反編譯工具進行逆向分析，進而暴露風險。 

雷鋒網(wǎng)注：詳情可點擊完整報告。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。