前 言 坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党 的十九大会议精神，为促进金融科技安全发展，推动金融风控水平提 高，根据《中华人民共和国网络安全法》《全国人民代表大会常务委 员会关于加强网络信息保护的决定》等法律法规和《中国金融业信息 技术“十三五”发展规划》《金融科技（FinTech） 发展规划（2019— 2021 年）》《信息安全技术 个人信息安全规范》等标准规范与文件 精神，中国信息通信研究院（以下简称：中国信通院）在有关领导部 门的指导下，聚焦于金融行业 App，梳理金融行业 App 的安全现状， 探究金融行业 App 的网络安全问题，总结形成本观测报告。 本次观测行动集中观测了金融行业中基于安卓系统的移动应用， 共涉及 232 个应用市场收录的 133327 款金融行业 App。经过持续数 月的观测，本报告研究团队综合运用大数据、漏洞扫描、病毒检测、 抽样研究等技术和分析手段，全方位、多维度地梳理了金融行业 App 的网络安全现状。研究发现，金融行业 App 的安全风险集中体现在以 下五个方面，一是高危漏洞普遍存在，二是恶意程序问题严峻，三是 使用 SDK 引入风险，四是违规索权侵犯隐私，五是缺乏有效安全加 固。 本报告旨在通过对金融行业的移动 App 进行安全观测与风险分 析，提出金融行业 App 安全工作的思路与建议，通过各单位的协同联 动，促进金融行业 App 的网络安全生态体系建立，支撑保障金融行业 的安全发展。 目 录 一、金融行业 App 观测背景 .......................................... 1 （一）移动应用安全的政策背景 ....................................... 1 （二）金融行业 App 的安全现状 ....................................... 2 二、金融行业 App 观测结果 .......................................... 3 （一）观测对象分布情况 ............................................. 3 （二）观测对象风险集中表现 ......................................... 5 三、金融行业 App 的安全风险分析 .................................... 7 （一）高危漏洞普遍存在 ............................................. 7 （二）恶意程序问题严峻 ............................................. 9 （三）使用 SDK 引入风险 ............................................ 11 （四）违规索权侵犯隐私 ............................................ 13 （五）缺乏有效安全加固 ............................................ 20 四、金融行业 App 的安全工作思路 ................................... 24 （一）相关行业主管部门 ............................................ 24 （二）应用商店运营者 .............................................. 24 （三）App 开发者 ................................................... 24 （四）App 的使用者 ................................................. 25 附 录 A 金融行业 App 地域分布表 ................................. 26 附 录 B 金融行业 App 分类逻辑及典型应用 ......................... 27 附 录 C Top10 高危漏洞说明 ..................................... 29 附 录 D App 恶意程序类型解释 ................................... 32 附 录 E 受到恶意程序感染的 App 地域分布表 ....................... 33 2019 金融行业移动 App 安全观测报告 一、金融行业 App 观测背景 （一）移动应用安全的政策背景 自十八大以来，党中央和国务院高度重视网络安全。习近平总书 记指出，没有网络安全就没有国家安全，将网络安全提升到国家战略 高度。随着移动互联网的快速发展，移动互联网安全在整体网络安全 中的重要性愈加突出，而移动互联网安全的重中之重就是移动 App 的 网络安全。 2019 年 1 月 25 日，中央网信办、工业和信息化部、公安部、市 场监督总局四部门联合发布《关于开展 App 违法违规收集使用个人 信息专项治理的公告》，成立 App 专项治理工作组在全国范围内组织 开展 App 违法违规收集使用个人信息专项治理行动。3 月 1 日，App 专项治理工作组发布了《App 违法违规收集使用个人信息自评估指南》 （以下简称《评估指南》），指导各相关单位进行自查整改。3 月 15 日，市场监管总局、中央网信办正式对外发布公告，将依据《移动互 联网应用程序（App）安全认证实施规则》开展 App 安全认证工作。 5 月 5 日，App 专项治理工作组起草了《App 违法违规收集使用个人 信息行为认定方法（征求意见稿）》（以下简称《认定方法》），并 在其官网和公众号公开，向社会各界公开征求意见，《认定方法》明 确界定了 App 收集使用个人信息方面的违法违规行为，为 App 运营 者自查自纠提供指引，为 App 评估和处置提供参考。7 月 1 日，工业 和信息化部印发《电信和互联网行业提升网络数据安全保护能力专项 行动方案》，强调为深化 App 违法违规专项治理，将持续推进 App 违 1 2019 金融行业移动 App 安全观测报告 法违规采集使用个人信息专项治理行动。8 月 8 日，为落实《中华人 民共和国网络安全法》（以下简称《网络安全法》）对个人信息保护 的相关要求的同时，加快相应标准化工作，全国信息安全标准化技术 委员会秘书处颁布《信息安全技术 移动互联网应用（App）收集个人 信息基本规范（草案）》，向社会公开征求意见。 App 相关法律法规的密集颁布和出台，体现了政府对于保障 App 网络安全的重视和治理 App 网络安全的决心，也反映出当前移动 App 安全面临着严峻的形势。 （二）金融行业 App 的安全现状 近年来，随着智能手机和移动互联网的快速发展，移动 App 已经 深入应用到大众生活的方方面面。用户通过金融行业进行投融资、借 贷、交易支付等活动愈加频繁，大部分的金融机构平台通过移动 App 开展业务。然而，移动 App 在给大众生活带来巨大便利的同时，也带 来了相应的安全隐患。移动 App 网络安全相关的法律法规和标准规 范体系不完善，给不法分子带来可乘之机；安卓第三方应用商店繁多， App 上线审核不规范，管理不严格情况时有发生；部分金融行业 App 开发者安全意识淡薄，技术手段落后，开发流程不规范，更新修复不 及时等问题严重；App 的用户缺乏安全意识，不良的 App 使用习惯带 来安全隐患。据《2019 年上半年我国互联网网络安全态势》报告显示， CNCERT 对 105 款互联网金融 App 检测发现安全漏洞 505 个，其中 高危漏洞 239 个。高危漏洞中，包括 59 个明文数据传输漏洞、58 个 明文存储密码漏洞和 40 个源代码反编译漏洞。这些安全漏洞可能威 2 2019 金融行业移动 App 安全观测报告 胁交易授权和数据保护，带来严重的安全风险。 为了进一步贯彻落实习近平总书记网络强国战略思想，促进金融 行业安全发展，为金融行业管理部门、金融机构和信息安全厂商提供 决策依据，中国信通院安全研究所行业安全团队对基于安卓系统的金 融行业 App 网络安全现状进行观测，形成本观测报告。 二、金融行业 App 观测结果 （一）观测对象分布情况 截止 2019 年 9 月 11 日，报告团队已从 232 个安卓应用市场中收 录了 133327 款金融行业 App。 从观测对象的地域分布来看，有 130022 款可以明确归属省份， 全国 34 个省级行政区均有金融行业 App 生成（金融行业 App 地域分 布详细数据参见附录 A），平均每个省份生成金融行业 App3824 款。 金融行业 App 地域分布不均，广东、湖北和北京分别以 29.60%、21.30% 和 12.96%的高占比排名金融行业 App 生成数量前三，而西藏、青海 等 6 省份总占比仅有 0.18%。具体数据如图 1 所示。 3 2019 金融行业移动 App 安全观测报告 图1 App 区域分布情况 从金融行业 App 细分领域来看（金融行业 App 分类逻辑及典型 应用参见附录 B），借贷类 App 包揽前三名中的两个席位。其中，面 向个人用户的消费金融类 App 数量最多，占观测总数的 36.74%；面 向企业的 P2P 金融类 App 排名第三，占观测总数的 11.38%；彩票类 App 排名第二，占观测总数的 27.19%。不同细分领域 App 占比如图 2 所示： 4 2019 金融行业移动 App 安全观测报告 36.74% 27.19% 11.38% 10.08% 3.19% 4259 2.45% 3263 2.00% 2664 1.91% 2553 1.66% 2209 1.42% 1898 1.27% 1693 0.41% 543 0.20% 261 0.09% 122 消费金融 彩票 P2P金融 投资理财 证券 财务管理 股票 其他 保险 银行 数字货币 外汇 互联网第三方支付 信托 0 10000 图2 48986 36253 15179 13444 20000 30000 40000 50000 60000 不同细分领域 App 数量及占比 （二）观测对象风险集中表现 1．以数据泄露为代表的高危漏洞风险 在本次观测中，发现有 70.22%的金融行业 App 存在高危漏洞， 攻击者