数字金融 App 安全观测报告 （2020 年） 中国信息通信研究院安全研究所 北京智游网安科技有限公司 2020年10月 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。 转载、摘编或利用其它方式使用本报告文字或者观点的， 应注明“来源：中国信息通信研究院”。违反上述声明者， 本院将追究其相关法律责任。 前 言 新型冠状病毒肺炎疫情发生以来，为疏解因疫情冲击造成线下 业务难以开展的难题，金融机构大力推进数字化转型，从而促进了 数字金融 App 的进一步应用和普及。然而，App 在给大众生活带来 巨大便利的同时，也带来了相应的安全隐患。 为了进一步贯彻落实习近平总书记网络强国的战略思想，助力 金融行业的平稳安全发展，中国信息通信研究院金融科技安全实验 室联合北京智游网安科技有限公司组成研究团队，在有关部门的指 导下，依据相关法律法规和文件精神，对基于安卓系统的数字金融 App 的安全现状进行了观测分析，形成本报告。 本报告研究团队升级了《2019 金融行业移动 App 安全观测报 告》的技术手段和分析维度，经过持续半年的观测，对 2020 年上半 年数字金融 App 存在的高危漏洞、恶意程序、使用 SDK 引入风险 以及缺乏有效安全加固等四类主要风险变化情况进行了对比分析， 并在工业和信息化部《关于开展纵深推进 App 侵害用户权益专项整 治行动的通知》等顶层设计的文件精神与工作指南的指导下，围绕 数字金融 App“侵害用户权益”等问题进行了抽样检测与安全研究。 本报告旨在通过对数字金融 App 进行持续、全面、客观的安全 观测与风险分析，为相关监管部门、App 开发运营者、应用分发平 台和用户提供数字金融 App 安全工作的思路与建议，共同促进数字 金融 App 的网络安全生态体系建设。 目 录 一、数字金融 App 安全观测背景........................................ 1 （一）移动应用安全的政策背景........................................ 1 （二）数字金融 App 的安全现状........................................ 3 二、数字金融 App 安全观测结果........................................ 5 （一）观测对象分布情况.............................................. 5 （二）安全风险对比分析.............................................. 6 三、数字金融 App 侵害用户权益专项检测结果........................... 15 （一）违规处理用户个人信息......................................... 16 （二）设置障碍、频繁骚扰用户....................................... 17 （三）应用分发平台责任落实不到位................................... 20 四、数字金融 App 的安全工作思路与建议............................... 21 （一）App 相关监管部门 ............................................. 21 （二）App 开发运营者 ............................................... 21 （三）App 应用分发平台 ............................................. 22 （四）App 用户 ..................................................... 22 附录 A 数字金融 App 地域分布表 ..................................... 24 附录 B Top10 高危漏洞说明.......................................... 25 附录 C App 恶意程序类型说明........................................ 27 附录 D 受恶意程序感染的数字金融 App 地域分布表 ..................... 28 图 目 录 图1 App 区域分布 Top10 ......................................... 5 图2 不同细分领域 App 数量及占比 ................................ 6 图3 金融行业 App 各等级漏洞情况 ................................ 6 图4 不同细分领域高危漏洞 App 占比情况 .......................... 7 图5 高危漏洞类型分布 Top10..................................... 8 图6 App 恶意程序类型占比情况................................... 9 图7 受到恶意程序感染的 App 区域分布 Top10...................... 10 图8 各细分领域受到恶意程序感染的 App 分布情况 ................. 10 图9 各细分领域受到恶意程序感染的 App 占比情况 ................. 11 图 10 不同 SDK 个数区间对应的 App 分布情况 ...................... 12 图 11 金融行业 App 使用的各类 SDK 占比情况 ...................... 12 图 12 不同加固厂家服务的 App 分布 .............................. 13 图 13 加固 App 地域分布 Top10................................... 14 图 14 各金融细分领域 App 加固分布情况 .......................... 14 图 15 抽样 App 检测发现问题数量占比 ............................ 15 图 16 某保险类 App 超范围收集个人信息 .......................... 17 图 17 某银行类 App 频繁索取权限 ................................ 18 图 18 某保险类 App 过度索取权限 ................................ 19 图 19 某银行类 App 强制索取权限 ................................ 20 图 20 某应用分发平台收录的某银行类 App 存在恶意程序 ............ 20 数字金融 App 安全观测报告（2020 年） 一、数字金融 App 安全观测背景 （一）移动应用安全的政策背景 近年来，随着新一代信息技术的蓬勃发展，网络空间在促进社会 和经济发展，保障和改善民生方面发挥着越来越重要的作用，网络空 间安全在迎来前所未有的发展机遇的同时，也面临着日趋严峻的风险 挑战。自十八大以来，以习近平同志为核心的党中央和国务院高度重 视网络安全，并形成网络强国的战略思想。习近平总书记指出， “没 有网络安全就没有国家安全”，将网络安全的重要性提升至国家战略 层面。 2019 年，中央网信办、工业和信息化部、公安部、国家市场监 督管理总局等行业监管部门重拳出击，对 App 违法违规收集使用个 人信息行为采取“零容忍”政策，成立专项组开展专项治理行动，陆 续“点名”几个批次的违规违法 App，责令违规 App 进行整改，体 现了监管部门对综合治理 App 网络安全的决心。 2019 年 11 月，中国人民银行发布了《关于发布金融行业标准 加 强移动金融客户端应用软件安全管理的通知》 （银发〔2019〕237 号）， 并随通知发布了《移动金融客户端应用软件安全管理规范》，要求各 金融机构提升客户端软件的安全防护能力，加强个人金融信息保护， 提高风险监测能力，健全投诉处理机制等。 2019 年 12 月，国家互联网信息办公室、工业和信息化部、公安 部、国家市场监督管理总局四个部门联合印发《App 违法违规收集使 1 数字金融 App 安全观测报告（2020 年） 用个人信息行为认定方法》，为监督管理部门认定 App 违法违规收集 使用个人信息行为提供依据，为 App 运营者自查自纠和网民社会监 督提供指引。 2020 年 2 月，中国人民银行发布了《个人金融信息保护技术规 范》，要求与个人金融信息相关的客户端应用软件及应用软件开发工 具包（SDK）应符合《移动金融客户端应用软件安全管理规范》 《网 上银行系统信息安全通用规范》客户端应用软件有关安全技术要求， 并在上线前进行安全评估。 2020 年 4 月，中国人民银行办公厅发布了《关于开展金融科技 应用风险专项摸排工作的通知》 （银办发〔2020〕45 号） ，要求各地 人民银行分支机构及相关监管机构依据相关法律制度、标准规范开展 专项摸排工作， “移动金融客户端应用软件”成为主要摸排对象之一。 2020 年 7 月，工业和信息化部印发《关于开展纵深推进 App 侵 害用户权益专项整治行动的通知》（工信部信管函〔2020〕164 号）， 决定深入推进技管结合，加强监督检查，通过专项整治行动切实加强 用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息 环境。 2020 年 9 月，全国信息安全标准化技术委员会先后发布《移动 互联网应用程序（App）系统权限申请使用指南》《移动互联网应用 程序（App）个人信息保护常见问题及处置指南》等一系列网络安全 标准实践指南，进一步帮助 App 运营者规范 App 申请使用系统权限 行为，采取相应措施持续提升 App 个人信息保护水平，为用户营造 2 数字金融 App 安全观测报告（2020 年） 绿色、安全、可信的 App 使用环境。 App 网络安全及个人信息保护相关政策法规和标准规范的密集 出台， 体现了政府相关部门对于保障 App 网络安全的重视和治理 App 安全风险的决心，也侧面反映出当前