版权声明 本白皮书版权属于中国信息通信研究院云计算与大数 据研究所和安全研究所,并受法律保护。转载、摘编或利用 其它方式使用本白皮书文字或者观点的,应注明“来源: 《移 动金融应用安全白皮书(2019 年)》”。违反上述声明者, 本院将追究其相关法律责任。 编委会 编委会成员:何阳、廖璇、陈湉、郑威、许一骏、唐明环、董欣 明、曹会宾、吕衎、马聪、姜鼎、张学阳、郑晓玲、王榕、郭训平、 程智力、马志民、谢勇、魏超、史博、邱寅峰、龙述兵、张融、李洋、 苏云 参与单位:中国信息通信研究院、北京智游网安科技有限公司(爱 加密)、北京顶象技术有限公司、信通院安全所&腾讯安全联合实验 室—产业互联网安全实验室、大数据协同安全技术国家工程实验室— 金融行业安全研究中心 前 言 近年来,以移动互联网技术为代表的新一代信息新技术发展迅猛, 智能终端得到了广泛的普及,信息化浪潮蓬勃兴起,移动应用在国内 甚至全球诸多产业发展中的重要地位逐渐显现。据 App Annie 发布的 《2019 年移动市场报告》 数据显示, 2018 年全球移动应用下载量 1940 亿,其中我国的移动应用下载量占比将近 50%,是目前全球移动应用 下载量最大的国家。 在金融领域,随着移动支付的普及,用户通过智能移动终端进行 投融资、借贷、交易支付等活动愈加频繁,大部分的金融机构平台通 过移动 App 开展业务,移动金融应用的重要性和价值逐渐凸显。移动 金融就是将移动性赋予金融服务业,实现金融服务业务移动化。移动 金融包括银行、证券、保险等传统金融服务向移动端的转移,也包括 移动互联网借贷、理财等新兴金融服务。移动金融能有效提升运营效 率,降低管理成本,为客户提供更加便捷、实时、高效的服务。 然而,移动金融应用在给大众生活带来巨大便利的同时,也带来 了巨大的安全挑战。移动端操作系统,特别是安卓操作系统,由于其 系统本身的开源性,系统漏洞更容易被发现和利用,增加了 App 本身 的脆弱性;部分金融行业 App 开发者安全意识淡薄,防护技术手段落 后,开发流程不规范,更新修复不及时等,也增加了移动金融 App 的 安全风险;同时,由于移动 App 能够收集到大量精准且有价值的用户 信息,导致越来越多的移动金融 App 成为不法分子的攻击目标。据 《全球关键信息基础设施网络安全状况分析报告(2017)》统计,金 融行业是国家关键信息基础设施行业中遭受网络攻击最多的行业,移 动金融应用的安全问题亟需关注。 本白皮书聚焦于移动金融应用的安全,详细梳理了移动金融应用 安全的政策和技术背景;从地域、应用市场和细分行业三个维度分别 介绍了移动金融 App 的分布情况;重点剖析了移动金融 App 面临的 高危漏洞、恶意程序、SDK 使用安全、违规索权、缺乏加固五大安全 风险;最后,提出了移动金融 App 安全建设的新思路和应对策略,并 对移动金融应用安全未来的发展趋势进行了展望。 目 录 一、移动金融应用的安全背景 ........................................ 1 (一)移动互联网高速发展........................................................................................ 1 (二)移动应用监管政策日趋严格............................................................................ 3 (三)5G 时代移动金融应用发展 .............................................................................. 8 二、移动金融应用的分布情况 ....................................... 10 (一)移动金融应用的地域分布不均...................................................................... 10 (二)移动金融应用的应用市场集中度高.............................................................. 11 (三)借贷领域移动应用持续发展占据半数市场.................................................. 11 (四)典型细分行业移动应用分布情况.................................................................. 12 三、移动金融应用的安全风险 ....................................... 17 (一)以数据泄露为代表的高危漏洞风险.............................................................. 17 (二)以流氓行为为代表的恶意程序风险.............................................................. 19 (三)使用第三方 SDK 引入安全风险 ..................................................................... 21 (四)违规索权带来的隐私泄露风险...................................................................... 23 (五)安全加固不足带来的安全风险...................................................................... 32 四、移动金融应用安全创新思路 ..................................... 36 (一)以移动金融应用安全为核心的整体设计...................................................... 36 (二)建设符合监管发展的合规检测能力.............................................................. 37 (三)全生命周期的移动金融应用安全防护策略.................................................. 38 (四)主动风险感知替代被动响应的防御思维...................................................... 39 五、移动金融应用安全前景展望 ..................................... 42 (一)安全政策频出,移动应用安全与基础设施安全齐头并进.......................... 42 (二)合规升级合法,移动金融应用隐私数据安全市场火热.............................. 42 (三)感知技术升级,驱动安全业务智能创新...................................................... 43 附录 A 金融行业 APP 地域分布表 .................................... 44 附录 B 金融行业 APP 分类逻辑及典型应用 ............................ 46 附录 C TOP10 高危漏洞说明 ........................................ 49 附录 D APP 恶意程序类型解释 ...................................... 52 附录 E 受到恶意程序感染的 APP 地域分布表 .......................... 53 移动金融应用安全白皮书(2019 年) 一、移动金融应用的安全背景 (一)移动互联网高速发展 据中国互联网络信息中心(CNNIC)发布的第 44 次《中国互联 网络发展状况统计报告》显示,截至 2019 年 6 月,我国网民规模达 8.54 亿,较 2018 年底增长 2598 万,互联网普及率达 61.2%,较 2018 年底提升了 1.6 个百分点;我国手机网民规模达 8.47 亿,较 2018 年 底增长 2984 万,网民使用手机上网的比例达 99.1%,较 2018 年底提 升了 0.5 个百分点,具体数据如图 1 所示。与五年前相比,移动宽带 平均下载速率提升约 6 倍,手机上网流量资费水平降幅超 90%。“提 速降费”推动移动互联网流量大幅增长,用户月均使用移动流量达 7.2GB,为全球平均水平的 1.2 倍;移动互联网接入流量消费达 553.9 亿 GB,同比增长 107.3%。以手机为中心的智能设备,成为“万物互 联”的基础,车联网、智能家电促进“住行”体验升级,构筑个性化、智 能化应用场景。移动互联网服务场景不断丰富、移动终端规模加速提 升、移动数据量持续扩大,为移动互联网产业创造更多价值挖掘空间。 1 移动金融应用安全白皮书(2019 年) 数据来源:CNNIC 中国互联网络发展状况统计调查 图 1 手机网民规模及其占网民比例 截至 2019 年 10 月, 我国本土市场上监测到的移动应用程序(App) 在架数量为 525 万款,基于安卓系统的第三方应用商店安卓移动应用 数量超过 286 万款,占比为 54.4%,苹果商店(中国区)移动应用数 量约 239 万款,微信小程序 57 万款,微信公众号 44 万个。具体数据 如图 2 所示。 数据来源:北京智游网安科技有限公司(爱加密) 图 2 中国市场移动 App 数量统计 2 移动金融应用安全白皮书(2019 年) 截至 2019 年 10 月,游戏类应用数量约 141 万款,占比达 50%; 生活服务类应用规模达 54.2 万款,排名第二,占比为 19%;电子商 务类应用排名第三,规模为 42.1 万款,占比为 15%,金融行业相关 移动应用达到 13.3 万款,成为应用市场中极具分量的专项类别。具 体数据如图 3 所示。 数据来源:北京智游网安科技有限公司(爱加密) 图 3 中国市场移动应用类型统计 (二)移动应用监管政策日趋严格 1.金融监管部门发布多项规定保障 App 安全 近年来,金融科技行业安全整体态势稳定,监管

pdf文档 信通院 移动金融应用安全白皮书

文档预览
中文文档 62 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共62页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
信通院 移动金融应用安全白皮书 第 1 页 信通院 移动金融应用安全白皮书 第 2 页 信通院 移动金融应用安全白皮书 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-11 13:28:38上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。