2019（第二屆）中國金融科技產業峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午舉行的“金融業網絡信息安全”分論壇上，中國信息通信研究院安全研究所高級研究員姜鼎帶來了《移動金融應用安全白皮書（2019年）》的解讀。

很榮幸由我代表報告團隊為大家解讀《移動金融應用安全白皮書（2019）年》。

白皮書共分五部分：

一、移動金融應用的安全背景

背景1：移動互聯網高速發展。截止2019年6月我國手機網民規模達到8.47億，網民使用手機上網比例高達99%。我國基于安卓系統移動應用超過286萬，其中移動金融應用達到13.3萬。隨著移動互聯網的高速發展，應用安全亟待加強，從右下角圖我們能夠看出，移動互聯網惡意程序的樣本數量呈現逐年遞增的趨勢。

背景2：網絡安全已經上升到國家安全戰略層面。2018年以來美國相繼發布多份網絡安全政策文件，國家安全局成立網絡安全理事會，歐盟2018年5月正式實施了通用數據保護條例。我國習近平總書記講話指出：沒有網絡安全就沒有國家安全，《網絡安全法》等法律法規和戰略規劃相繼出臺。此外，澳大利亞、新加坡等其他國家都推出適用于本土的網絡安全戰略和立法。

背景3：金融領域成為網絡安全的重災區。左圖可以看出33%的網絡攻擊發生在金融領域，金融領域是網絡攻擊最為集中的一個領域。右圖是網絡攻擊在金融領域造成重大經濟損失的幾個典型案例。

在這種背景下，移動金融的應用安全受到政策和監管高度重視，出臺一系列重磅政策法規和標準規范。其中2019年1月份四部門聯合成立APP專項治理工作組，在全國范圍內組織開展專項治理的活動。

二、移動金融應用的分布情況

移動金融應用從分布來看有三個特點：

1、地域分布不均。移動金融應用覆蓋全國34個省級行政區，廣東、湖北和北京排名前三，西藏和青海排名靠后。從金融業分類來看，47%的銀行類APP集中在廣東、北京、湖北、上海這4個省份，69%證券類APP集中在廣東、北京、上海、湖北、浙江這5個省份，53%的保險類APP集中在廣東、北京這兩個省份。也就是說APP主要在經濟比較發達的一些地區。

2、應用市場的集中度高。我們共研究APP來自232個應用市場，其中59%APP集中在排名前十的應用市場，集中度非常高。

3、借貸類APP占據半壁江山。消費金融類APP和P2P類APP占我們研究總數的48%。

三、移動金融應用的安全風險分析

這是白皮書的重要內容，我在這里做重點解讀。

我們基于232個安卓應用市場收錄的移動行業金融APP進行研究歸類為五類安全風險：

1、以數據泄露為代表的高危漏洞風險。我們研究發現，有70%金融行業APP共存在62.7萬條高危漏洞記錄，平均每款APP有6.7個高危漏洞，攻擊者可以利用這些漏洞來竊取用戶數據進行APP仿冒，植入惡意程序和攻擊程序等等。

2、以流氓行為為代表的惡意程序風險。從地域分布來看受到惡意程序干擾APP分布在除了香港以外的33個省級行政區，其中江蘇、廣東、北京排名前三，受到惡意程序感染APP數量的80%。共有8217款金融行業APP被檢測出惡意程序，感染率為6.16%。

3、使用第三方SDK引入的安全風險。超過60%第三方SDK存在安全漏洞，容易被植入惡意程序，同時存在隱蔽收集用戶個人信息等相關安全問題。我們統計，20%金融APP嵌入第三方SDK，從SDK分類來看，全行業的APP嵌入的SDK主要是集中在框架類SDK，金融類APP是以推送類的SDK為主，這也是值得關注的一個安全風險。

4、違規索權帶來的隱私安全風險。我們發現這12款APP均存在不同程度超范圍索取用戶權限的情況，其中有9款以上的APP共同索取權限包括左圖這25類權限，包括8類高敏感度權限、7類中敏感度權限和10類低敏感度權限。此外，APP存在涉嫌違法違規問題，我選取其中三個典型問題和大家介紹：

第一，缺乏單獨的隱私政策。比如這款借貸類APP的隱私政策是作為用戶注冊服務協議的一部分，違反了隱私政策需要獨立成文的規定。

第二，美國站群服務器，涉嫌阻礙用戶刪除個人信息。這款炒股類APP隱私政策里提出滿足以下情形才可以提出刪除APP，違反APP專項治理小組發布自評估報告里要求的支持用戶刪除個人信信息的規定。

第三，沒有提供引入第三方SDK的政策。這款金融類APP在它的隱私政策中提出通過它們接入的第三方SDK服務有自己的隱私政策，不受他們隱私政策的約束，免備案服務器，而且他們不承擔任何法律責任，這存在泄露用戶隱私的風險。