您好!欢迎来到深圳市互联网学会官网!
首页 > 资讯中心 > 行业研究 > 产业动态 > 信通院发布金融行业App安全报告:四大银行均涉嫌超范围索权

信通院发布金融行业App安全报告:四大银行均涉嫌超范围索权

  • A-
  • A+
来源:南方都市报    2019-11-05
  • 分享

近日,中国信息通信研究院发布《2019年金融行业移动App安全观测报告》(简称《报告》)。

《报告》检测了13万余款金融行业App,其中七成存在高危漏洞。在抽查的12款下载量过亿的App中,四大银行均存在超范围获取权限的情况。

7成多App存在高危漏洞

《报告》对133327款金融类App进行了测评,涉及消费金融类、彩票类、P2P金融类等13类。

在所有App中,共检测出近200万条漏洞记录,逾七成存在高危漏洞。平均每款App存在 20.3 个安全漏洞,包括6.7 个高危漏洞。

从App分类来看,互联网第三方支付和信托类App的高危漏洞问题较为突出,存在高危漏洞 App 的比例为 93.87%和 93.44%。保险、投资理财、外汇等分类的App高危漏洞问题也相对严重,存在高危漏洞的 App 比例超过 85%。

《报告》称,攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等,对App安全具有严重威胁。其中,排名前三的高危漏洞均存在导致App数据泄露的风险,比如账号密码、短信内容等被窃取。

金融、彩票、P2P类App被恶意程序感染最多

《报告》指出,在所有被检测的App中,共有8217款被检测出恶意程序,感染率为6.16%。在被感染的App中,82.02%的App被具有流氓行为的恶意程序感染,可在用户未授权的情况下,弹出广告窗口等;9.1%的App受到具有信息窃取行为的恶意程序感染,这些恶意程序可窃取用户短信、通讯录、位置信息等敏感信息。

App恶意程序类型分布情况。

从App分类来看,金融类、彩票类和P2P类被恶意程序感染的最多,分别有有 4166 款、2378 款、949 款。

四大银行App涉嫌超范围获取权限

近来,敏感权限和隐私信息泄露是App安全防范关注的焦点。《报告》指出,此次调研对12款下载量过亿的App进行敏感权限获取情况和隐私政策方面存在的问题进行了分析。

结果显示,包括中国建设银行、中国交通银行、中国银行、中国工商银行、中国农业银行等在内的12款App均存在不同程度超范围获取权限的情况。它们惯常获取的高敏感权限包括读取录制音频、拍摄照片和录制视频、读取系统日志等。

调研的12款App隐私权限获取情况。

在隐私条款中,一些App存在不合理的条款。比如某App要求用户注销账户时提供身份证正反面照片、手持身份证上半身照片、需注销的手机号及手机营业厅“个人信息”页面截图等。

《App违法违规收集使用个人信息自评估指南》规定,App应支持用户注销账号,且不得收集与业务功能无关的个人信息。《报告》指出,上述App的注销要求不仅增加了注销难度,还违规获取个人隐私。

文/南都个人信息保护研究中心研究员 尤一炜

(编辑:丨本文链接:https://www.isz.org.cn/news/18/3/10542.html

深圳市互联网学会

学会的宗旨:整合行业资源,服务互联网,普及互联网知识,打造互联网在线学习、互联网生态服务。
更多学习进入互联网在线学习《互联网学会》公众号

欢迎加入学会
我们随时为您提供帮助

成为会员

热门文章

查看更多

咨询热线

0755-32875048

周一至周五 9:00-18:00

地址:深圳市福田区南园路68号上步大厦18A

  • 深圳市互联网学会官方微博扫码加客服微信
  • 深圳市互联网学会官方微信关注微信公众号
@深圳市互联网学会 版权所有
  备案号:粤ICP备14018046号