金融行业移动App安全观测报告

目 录一、金融行业App观测背景 1（一）移动应用安全的政策背景 1（二）金融行业App的安全现状 2二、金融行业App观测结果 3（一）观测对象分布情况 3（二）观测对象风险集中表现 5三、金融行业App的安全风险分析 7（一）高危漏洞普遍存在 7（二）恶意程序问题严峻 9（三）使用SDK引入风险 11（四）违规索权侵犯隐私 13（五）缺乏有效安全加固 20四、金融行业App的安全工作思路 24（一）相关行业主管部门 24（二）应用商店运营者 24（三）App开发者 24（四）App的使用者 25附录A金融行业App地域分布表 26附录B金融行业App分类逻辑及典型应用 27附录CTop10高危漏洞说明 29附录DApp恶意程序类型解释 32附录E受到恶意程序感染的App地域分布表 33一、金融行业App观测背景（一）移动应用安全的政策背景App的网络安全。2019125App违法违规收集使用个人App专项治理工作组在全国范围内组织App31日，AppApp违法违规收集使用个人信息自评估指南》（315App安全认证工作。55日，AppApp违法违规收集使用个人（征求意见稿（并AppApp运营App71AppApp违88（对个人信息保护收集个人信息基本规范（草案）》，向社会公开征求意见。AppApp网络安全的重视和治理AppApp安全面临着严峻的形势。（二）App的安全现状App已经AppAppApp网络安全相关的法律法规和标准规AppApp使用习惯带2019105App505个，其中2395958个40个源代码反编译漏洞。这些安全漏洞可能威胁交易授权和数据保护，带来严重的安全风险。App网络安全现状进行观测，形成本观测报告。二、金融行业App观测结果（一）观测对象分布情况20199232个安卓应用市场中收133327App。130022款可以明确归属省份，34App（App地域分App3824款。App29.60%21.30%12.96%App生成数量前三，而西藏、青海60.18%1所示。图1 App区域分布情况App细分领域来看（App分类逻辑及典型AppApp36.74%；面P2PApp11.38%；彩票类App27.19%App占比如图2所示：6000060000500004000030000200000.09%1221000005432610.41%0.20%1.27%169318981.42%1517913444362534898636.74%27.19%11.38%10.08%3.19%42592.45%32632.00%26641.91%25531.66%2209P2P金融图2 不同细分领域App数量及占比（二）观测对象风险集中表现以数据泄露为代表的高危漏洞风险70.22%App存在高危漏洞，App仿冒、植入恶意程App的高危漏洞App数据泄露的风险。以流氓行为代表的恶意程序感染风险8217App被检测出恶意程序，App用户的个人隐App占82.02%。SDK本次观测发现，共有20.48%的金融行业App被嵌入了第三方SDK,SDK104005SDK的金融行业App45%App5SDKSDKApp也面临一定的安全隐患。违规索权带来的隐私泄露风险12款下载量过亿的金融行AppApp存在不同程度的超范围索取用户权限的情况，在隐私政策方面也存在多种违法违规行为，App用户的个人隐私信息一旦泄App用户的利益。安全加固不足暴露安全风险17.08%App进行了安全加固，80%App在应用市场“裸奔”，未进行任何的安全JavaAPK三、金融行业App的安全风险分析（一）高危漏洞普遍存在高危漏洞,70.22%中危漏洞,73.14%低危漏洞,73.03%报告团队对133327款金融行业App进行扫描，共计检测出19796966021种为高危漏洞。App中，73.23%存在不同程度的安全漏洞，70.22%存在高App20.36.7高危漏洞,70.22%中危漏洞,73.14%低危漏洞,73.03%图3金融行业App各等级漏洞情况AppApp的高危App93.87%93.44%AppApp85%4所示。存在高危漏洞存在高危漏洞APP数量存在高危漏洞APP占比5000060.00%58.29%55.00%50.00%1000067.64%1500074.33%2000085.64%79.86%78.03%83.97%82.84%77.78%2500087.69%88.88%86.87%93.87% 93.44%30000100.00%95.00%90.00%85.00%80.00%75.00%70.00%65.00%消费金融彩票投资理财P2P金融证券财务管理其他股票保险银行数字货币外汇互联网第三方支付信托图4不同细分领域高危漏洞App数量及占比情况消费金融彩票投资理财P2P金融证券财务管理其他股票保险银行数字货币外汇互联网第三方支付信托75000600002948330000 4500015000022.11%H5文件加固检测3755728.17%数据库注入漏洞4672935.05%IP检测5167638.76%权限滥用风险5477741.08%RSA加密算法不安全使用风险5569341.77%WebView明文存储密码漏洞6052845.40%Java代码加壳检测7090253.18%WebView远程代码执行漏洞75000600002948330000 4500015000022.11%H5文件加固检测3755728.17%数据库注入漏洞4672935.05%IP检测5167638.76%权限滥用风险5477741.08%RSA加密算法不安全使用风险5569341.77%WebView明文存储密码漏洞6052845.40%Java代码加壳检测7090253.18%WebView远程代码执行漏洞7099753.25%Janus漏洞7122953.42%动态注册Receiver风险图5高危漏洞类型分布（Top10）（二）恶意程序问题严峻8217款金App6.16%等多种恶意行为，对移动用户的个人信息及财产安全带来巨大威胁。0.15%系统破坏,0.01%流氓行为,82.02%1.25%5.25%信息窃取,9.10%从恶意程序类型来看（恶意程序类型及说明参加附录D），有82.02%App已经受到具有流氓行为的恶意程序感染，这类恶意程验9.10%的App0.15%系统破坏,0.01%流氓行为,82.02%1.25%5.25%信息窃取,9.10%图6 App恶意程序类型分布情况（一款App可能存在多种病毒）从地域分布来看，除19款归属省份不明的App之外，其余8198App33（受到AppAppApp总数30.16%App12.56%App受到恶意程序感染。受到恶意程序感染的App7所示：图7受到恶意程序感染的App区域分布情况AppApp数量前三的类别分别为消费金融类、彩票类、P2PApp41662378949AppAppP2P金融类受6%8所示。领域渗透率领域渗透率病毒APP占比55.00%44.00%33.00%消费金融 8.50%彩票 P2P金融 投资理财 2.69%其他 3.64%财务管理 股票 银行 保险 证券 数字货币 外汇 互联网第三方支付 0.00% 11.00% 22.00%图8各细分领域受到恶意程序感染的App分布情况（三）SDK引入风险SDK是SoftwareDevelopmentKit“软件开发工具包”，SDK供开发者使用。而开发者为了提升效率、降低成本，往往SDKSDK常存在安全漏SDK的App带来相应的安全隐患。SDK市场占有率分析报告》统60%SDKSDK被广泛使用到大App中，漏洞造成的影响范围极广。不法分子可以通过制作、发AppSDK，造成短时间、大范SDK息的能力，但SDK收集哪些个人信息，用户往往难以感知，甚至App开发者也未必知晓，给用户个人信息安全带来严重威胁。27300款金融行业App嵌入了第三方SDK，App20.48%App104005个第三方SDKApp3.8AppSDK使用情9所示。40.00%35.00%SDK30.00%量最多为14个，25.00%20.00%App入，此处不予展15.00%10.00%5.00%0.00%APP占比9.53%3.58%2.72%1.88%0.93%0.63%0.20%2.43%5.42%0.20%SDK数量占比5.00%2.82%2.86%3.45%1.96%1.50%0.52%7.01%0.69%图9不同SDK个数区间对应的App分布情况AppSDKSDK使用AppSDK分别是推送73.11%、9.83%8.70%；全行业AppSDK为框架类、广告类和社交类，占比分别为42.98%12.86%11.60%SDKAppSDK3.42%0.28%10所示。SDK在金融AppSDKApp中使用十分广泛，安全风险问题需要重点关注。业 音视频类类 0.01%0.52%0.00%地图类类 类 类 0.00%5.47%9.38%4.66%6.51%0.28%8.70% 9.83%3.42%10.00%10.68%11.60%12.86%40.00%30.00%20.00%42.98%50.00%70.00%60.00%73.11%80.00%图10全行业和金融行业App使用的各类SDK分布对比（四）违规索权侵犯隐私App安全关注和防范的App户本12App，分别对敏超范围获取敏感权限研究发现，12App均存在不同程度的超范围权限采集现象。App29种高敏感权限、15种中敏感权限、33种低敏1所示。表1 调研的12款App隐私权限获取情况序号App名称版本号包名所属渠道高敏感中敏感低敏感1中国建设银行4.2.0com.chinamworld.main华为应用市场1810222交通银行3.3.10com.bankcomm.Bankcomm华为应用市场1810223工银融e联3.4.0com.icbc.im华为应用市场1610194中国工商银行.1com.icbc华为应用市场159205华为钱包00com.huawei.wallet华为应用市场159166中国农业银行4.1.0com.android.bankabciTools169147中国银行6.0.6com.chinamworld.bocmbci华为应用市场109198全能中彩彩票3.2.8com.qnzc.sls_App.activity应用宝127169快乐宝彩票3.2.8com.klb.sls_App.activity应用宝1271610彩运宝彩票-快33.2.8com.cyb.sls_App.activity应用宝1271611草根投资4.2.0.cgtz其他10111212无忧钱包1.1.6com.chuangle.clwy应用宝4279925种，其中，高敏感87102所示。表2 9款及9款以上App获取的权限列表序号权限类别敏感度权限名获取权限App占比1读取手机状态和身份高敏感READ_PHONE_STATE100%2修改或删除存储卡中的内容高敏感WRITE_EXTERNAL_STORAGE100%3读取系统日志高敏感READ_LOGS91.67%4拍摄照片和录制视频高敏感CAMERA91.67%5修改系统设置高敏感WRITE_SETTINGS91.67%6发起电话呼叫高敏感CALL_PHONE75%7录制音频高敏感RECORD_AUDIO75%8重启程序高敏感REBOOT75%9访问确认位置信息中敏感ACCESS_FINE_LOCATION100%10更改WLAN状态中敏感CHANGE_WIFI_STATE100%11访问大致位置信息中敏感ACCESS_COARSE_LOCATION91.67%12改变网络状态中敏感CHANGE_NETWORK_STATE91.67%13获取任务信息中敏感GET_TASKS91.67%14装载和卸载文件系统中敏感MOUNT_UNMOUNT_FILESYSTEMS91.67%序号权限类别敏感度权限名获取权限App占比15显示系统窗口中敏感SYSTEM_ALERT_WINDOW83.33%16查看WLAN状态低敏感ACCESS_WIFI_STATE100%17查看获取网络状态低敏感ACCESS_NETWORK_STATE100%18防止处理器休眠或屏幕变暗低敏感WAKE_LOCK100%19访问互联网权限低敏感INTERNET100%20开机时自动启动低敏感RECEIVE_BOOT_COMPLETED100%21控制振动器低敏感VIBRATE100%22读取设备外部存储空间低敏感READ_EXTERNAL_STORAGE91.67%23使用蓝牙低敏感BLUETOOTH91.67%24创建快捷方式低敏感SHORTCUT83.33%25更改您的音频设置低敏感MODIFY_AUDIO_SETTINGS83.33%由上表可知，所有App均获取两项高敏感权限,一是获取了20196月发布的《网络安全实践指南——移动互联网应用App基本业务功能未严格遵守隐私政策法规AppApp用户对其充分知晓和同意。41条规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、App中也涉嫌存在违法违规问题。超范围获取个人指纹及面部识别信息等非必要敏感信息。图11某金融App隐私政策中收集用户指纹、面部等生物信息App隐私政策中出现要求用户提供给用户删除个人信息设置条件，非规定情形下不予理睬。图12某金融App隐私政策中删除个人信息条款App12App设置条件阻止用户删除个人信息。未提供单独的《隐私政策》，违反了隐私政策要以单独成文形式发布的要求。图13某金融App未单独提供隐私政策13App超范围获取读取通讯录、摄像头、通话录音等与服务无关权限，未对收集到的相关信息所对应的功能进行说明。图14某金融App隐私政策中未说明收集信息的用途14App声称关闭这些权限则影响用户获取应用提供的产品或服务。注销账号程序繁琐且涉嫌收集与该操作无关的个人信息。违App图15某金融App隐私政策中注销账号相关条款15App隐私政策要求注销账号时需提供身份正反应用程序接入的第三方服务不受该隐私政策限制，且需主动所示。16AppApp（五）缺乏有效安全加固JavaAppAppAppAppAppApp至少进行过一次安全App17.08%App开发8App未进行过安全加固。AppApp360、腾讯、梆梆、爱加密、百度等1254.36%的金融行业App360加固平台进行安全加固；39.02%App选择腾讯6.62%App选择其他厂商进行安全加固。加固厂家选择如图17所示：39.02%3.38%2.27%0.58%54.36%39.02%3.38%2.27%0.58%54.36%0.00% 0.01%360加固各省份移动应用加固情况相近从加固App的地域分布来看，发达地区App供应商安全意识较强，加固数量最多，如图18所示。图18加固App地域分布700600500400300200045.00%40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%5App加固比例未达到行27700600500400300200045.00%40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%山西河北广西新疆山东青海吉林安徽宁夏四川加固APP数量182293134795321012535625627省份占比41.65%38.25%37.02%34.05%33.69%33.33%33.07%32.99%32.89%32.84%加固APP占比0.80%1.29%0.59%0.35%2.34%0.04%0.55%1.56%0.11%2.75%图19加固App数量省份占比前十分布3、借贷类App加固比例相对偏低AppAppP2PApp加固比例分别为10.41%13.33%App平均加固比例。外汇类、银行App43.83%28.24%26.58%，App20所示。10.41%10.41%45.00%43.83%40.00%36.00%27.00%18.00%28.24% 26.58%21.46% 18.61% 23.05% 20.80% 23.47%20.49% 17.61% 17.83%16.18% 13.33%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%金融0.00%领域渗透率 加固APP占比互联网图20各金融细分领域App加固分布情况互联网四、金融行业App的安全工作思路（一）相关行业主管部门AppApp安全无App安App安全等级保护测AppAppApp（二）应用商店运营者App与用户的桥梁，各应用商店运营者应严格贯彻App开发者及用户权益。同AppAppApp安全问题给用户带来的损失。（三）App开发者AppApp安全的核心，其安全意识和安全防护能AppApp的开发者，首先，明AppApp开App开发的App因漏洞问题被仿冒、攻击以及感染恶意程序等。（四）App的使用者App的App，不随意点开不明下载链接；AppApp和暴露过多个人隐私信息。附录A 金融行业App地域分布表序号省份App数量占比1广东3946429.60%2湖北2840021.30%3北京1685712.64%4江苏92926.97%5上海85166.39%6浙江57164.29%7福建41353.10%8湖南26672.00%9四川19091.43%10河南16201.22%11山东15791.18%12陕西12790.96%13安徽10790.81%14重庆9160.69%15河北7660.57%16江西7550.57%17云南6740.51%18辽宁6480.49%19贵州4610.35%20天津4420.33%21山西4370.33%22吉林3780.28%23广西3620.27%24黑龙江3460.26%25内蒙古3260.24%26海南3230.24%27新疆2320.17%28甘肃2050.15%29宁夏760.06%30西藏470.04%31台湾400.03%32香港350.03%33青海300.02%34澳门100.01%附录B 金融行业App分类逻辑及典型应用序号金融分类分类逻辑应用名称版本号网页链接1消费金融仅面向消费者个人的借贷类应用云科贷管家1.0.30L5-XW/soft/505642.html吉利贷1.5.1/ruanjian/1887.html2彩票博彩类应用快3v1.6.2/myApp/detail.htm?apkName=com.lottery.tisscasdqpcddok彩票v2.5.5/down/261210.html3投资理财黄金、白原油等专业应用。v1.0/az/418348.html朵朵理财1.32/detail?pid=34&cid=40&docid=-83156434526366887954P2P金融宜人贷手机版1.0/a_soft/124275.html猪金贷v1.0.0/myApp/detail.htm?apkName=com.zhujindai.p2p.ad35证券平安证券https://A/App/C10308911国金太阳5.00.01http://www.shouji56.com/soft/GuoJinZheng_80379/6财务管理记账、收理类应用易收钱App1.0/a_soft/36445.html传贝收银3.0.8/myApp/detail.htm?apkName=com.wuzhenpay.App.chuanbei7股票专业炒股软件股票配资1.0/Apps/com.myApp.gppeizis牛股王股票1.0/a_soft/1917.html8保险提供各种保险产品的应用人保财险App1.0/a_soft/27821.html中国人寿App1.0/a_soft/35312.html9银行1.4/downinfo/381780.html序号金融分类分类逻辑应用名称版本号网页链接工银融e行客户端1.0/a_soft/8492.html10数字货币专注虚拟货币交易投资服务的应用FOTA方图App1.0.0/az/1099977.htmlbefong1.0.0/App/bifengApp/11外汇专注外汇交易投资应用外汇宝软件1.0/a_soft/37276.htmlMT4外汇中文版v1.0.4/myApp/detail.htm?apkName=cc.yswebportal.ahpt.m12互联网第三方支付网支付（纳入此范壹钱包V4.3.1/azrj/279183.html易生支付2.4.4http://os-/rj/288175.shtml13信托华润信托1.8.1https://A/App/C100127841钱景信托管家/rj/302384.shtml附录C Top10高危漏洞说明序号恶意程序检测目的类型说明Google201712告中披露“Janus”漏洞（漏洞编号：CVE-2017-13156）。该漏洞可以让攻击者绕过安卓系统的signatureschemeV1签名机制，直接检测应用是对App进行篡改。由于安卓系统的其他安全机1Janus漏洞Janus洞。可以在正常应用中植入恶意代码，可替代原有的App做下载、更新。安装这些仿冒App后，攻击者可以窃取用户的账号、密码等敏感信息；或者植入木马病毒，导致手机被ROOT，甚至被远程操控。AndroidAPIlevel17以及之前的版本，由于程序没有正确限制使用2WebView远程代码执行漏洞检测应用是否存在WebView远程代码执行漏洞。addJavascriptInterfaceJavaReflectionAPIJavaWebViewJavaScriptJava导致手机被安装木马程序，发送扣费短信，通信录或者短信被窃取，甚至手机被远程控制。BroadcastReceiver组件可动态注册，即在代码中使用registerReceiver()方法注册BroadcastReceiver，只有当3动态注册Receiver险检测应用是否存在动态注册Receiver险。registerReceiver()的代码执行到了才进行注册，取消时则调用unregisterReceiver()方法。但registerReceiver()方法注册的BroadcastReceiver是全局的并且默认可导出的，如果没有限制访问权限，可以被任意外部App访问，向其传递Intent来执行特定的功能。因此，动态注册的BroadcastReceive可能导致拒绝服务攻击、App数据泄漏或是越权调用等风险。4WebView明文存储密码漏洞检测应用的WebView组件中是否使用明文保存用户名及密码。WebViewWebView中输入的用户名和密码，则会被明文保存到应databases/webview.dbrootWebView序号恶意程序检测目的类型说明数据库，从而窃取本地明文存储的用户名和密码。5IP检测检测应用代码中是否硬IPIPIPIP址。起来比较繁琐。6Java代码加壳检测检测应用程Java码是否加壳。JavaJavaJava应用程序的代码，导致代码逻辑泄露、重要数据加密代码逻辑泄露等。ContentProviderAndroid的应用程序之间实现数据共享的功能。SQLite数据库和文件数据是ContentProvider的数据检测应用是源。当ContentProvider的数据源是SQLite7数据库注入漏洞Provider（export为“true”），如果query()中使用拼接字符洞。SQLSQLite库时，则容易发生SQL注入。攻击者可以利用此漏洞攻击应用的本地数据库，导致存储的敏感数据信息被查询泄露，例如用户名、密码等，或者产生查询异常导致应用崩溃。H5检测应用资界面、支付界面等。攻击者可篡改H5资源文8H5文件加固检测H5加固。有甚者，通过H5代码暴露相关活动的业务逻辑，可能被黑产团队用来刷红包、薅羊毛等，造成经济损失。检测应用中RSA加密算法是一种非对称加密算法，是第一个既能用于数据加密也能用于数字签名的算法。9RSARSA512用风险法不安全使确的工作模式和填充方式，将会存在重放攻击用情况。的风险。因RSA加密算法不安全使用造成的加密方法失效，可能造成客户端隐私数据泄露、序号恶意程序检测目的类型说明加密文件破解、传输数据被获取、中间人攻击等后果，导致用户敏感信息被窃取。权限是一种安全机制，主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在检测应用中AndroidManifest.xml中增加权限来控制限制性10权限滥用风险况。击者利用应用权限可以使用某些特殊的功能，如拨打电话、访问摄像头、利用麦克风录音、编写并植入木马等。可能导致隐私数据泄露，钓鱼扣费等风险。附录D App