近日，中国信息通信研究院发布《2019年金融行业移动App安全观测报告》（简称《报告》）。

《报告》检测了13万余款金融行业App，其中七成存在高危漏洞。在抽查的12款下载量过亿的App中，四大银行均存在超范围获取权限的情况。

7成多App存在高危漏洞

《报告》对133327款金融类App进行了测评，涉及消费金融类、彩票类、P2P金融类等13类。

在所有App中，共检测出近200万条漏洞记录，逾七成存在高危漏洞。平均每款App存在 20.3 个安全漏洞，包括6.7 个高危漏洞。

从App分类来看，互联网第三方支付和信托类App的高危漏洞问题较为突出，存在高危漏洞 App 的比例为 93.87%和 93.44%。保险、投资理财、外汇等分类的App高危漏洞问题也相对严重，存在高危漏洞的 App 比例超过 85%。

《报告》称，攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等，对App安全具有严重威胁。其中，排名前三的高危漏洞均存在导致App数据泄露的风险，比如账号密码、短信内容等被窃取。

金融、彩票、P2P类App被恶意程序感染最多

《报告》指出，在所有被检测的App中，共有8217款被检测出恶意程序，感染率为6.16%。在被感染的App中，82.02%的App被具有流氓行为的恶意程序感染，可在用户未授权的情况下，弹出广告窗口等；9.1%的App受到具有信息窃取行为的恶意程序感染，这些恶意程序可窃取用户短信、通讯录、位置信息等敏感信息。

App恶意程序类型分布情况。

从App分类来看，金融类、彩票类和P2P类被恶意程序感染的最多，分别有有 4166 款、2378 款、949 款。

四大银行App涉嫌超范围获取权限

近来，敏感权限和隐私信息泄露是App安全防范关注的焦点。《报告》指出，此次调研对12款下载量过亿的App进行敏感权限获取情况和隐私政策方面存在的问题进行了分析。

结果显示，包括中国建设银行、中国交通银行、中国银行、中国工商银行、中国农业银行等在内的12款App均存在不同程度超范围获取权限的情况。它们惯常获取的高敏感权限包括读取录制音频、拍摄照片和录制视频、读取系统日志等。

调研的12款App隐私权限获取情况。

在隐私条款中，一些App存在不合理的条款。比如某App要求用户注销账户时提供身份证正反面照片、手持身份证上半身照片、需注销的手机号及手机营业厅“个人信息”页面截图等。

《App违法违规收集使用个人信息自评估指南》规定，App应支持用户注销账号，且不得收集与业务功能无关的个人信息。《报告》指出，上述App的注销要求不仅增加了注销难度，还违规获取个人隐私。

文/南都个人信息保护研究中心研究员 尤一炜