金融App安全报告：超9成证券、外汇类App存高危漏洞

其中，系统键盘使用风险泄露的app数量占据观测总数的78.52%。移动用户在 App 的登录、注册、支付等敏感界面输入信息时，使用了不安全的系统键盘，存在数据被拦截与监听的风险，容易导致账号、密码等敏感数据泄露，系统键盘使用风险成为当前App面临的主要安全问题。

流氓行为恶意程序感染率增长明显

《报告》称，在所有被检测的App中，共有8563款App存在恶意程序，感染率高达29%。其中，具有流氓行为的恶意程序极为突出，占恶意程序总数的93.83%。

所谓“流氓行为”，即这类恶意程序对系统没有直接损害，但会严重影响用户体验。包括但不限于在用户不知情或未授权的情况下，自动捆绑安装的;在用户未授权的情况下，弹出广告窗口的;执行用户未授权的其他操作等。

值得注意的是，与2019年的观测情况相比，流氓行为类恶意程序感染率增长明显，由82.02%增长到93.92%。隐私窃取类和恶意传播类恶意程序感染率有所下降。

从地域分布来看，广东受到恶意程序感染的App数量最多，占全部收到恶意程序感染的App总数的45.21%。

从App细分领域角度来看，受到恶意程序感染的App数量前三的类别分别为投资理财、消费金融和数字货币类，分别有2586款、1475款、543款。同时，与2019年的观测数据相比，这三类App感染恶意程序的占比均有大幅提升。

统计、社交、框架和地图类SDK占比提升

随着移动互联网的快速发展，越来越多的服务商选择将其服务封装成SDK（软件开发工具包）供开发者使用。《报告》称，开发者为提升效率、降低成本，往往会在开发过程中嵌入第三方SDK。但是，第三方SDK常存在安全漏洞、恶意程序、个人信息泄露等安全问题。

《报告》指出，有6435款金融行业App嵌入第三方SDK，占比22.14%。这些App共嵌入22818个第三方，平均每款App嵌入3.5个。

与2019年相比，排名前三的SDK种类并无变化，分别是推送类、统计类和社交类。但值得注意的是，统计类、社交类、框架类和地图类SDK占比均有提升，需加强关注相关类别SDK的安全性问题。

《报告》还指出，金融行业 App 开发者对于安全加固的重视程度不足，至少进行过一次安全加固的App仅占15.75%，有超过 8 成的金融行业 App 未进行过安全加固。

保险类App在侵害用户权益问题上数量最多

针对数字金融App侵害用户权益的问题，《报告》对银行、保险、证券各10款，共计30款金融行业App进行检测。其中，保险类App问题数量最多，占问题总数的47.06%。

检测发现，抽样App中有16款存在“违规收集使用个人信息”的问题，有3款存在“超范围收集个人信息”的问题。有10款存在“频繁索取权限”的问题，3款存在“过度索取权限”；2款存在“强制索取权限”的问题。

《报告》以某银行类App为例，检测发现该应用在启动时，必须要授权使用拍摄照片和录制视频权限以及提供位置信息，否则无法使用 App。但实际上，这两项权限并非该 App 正常运行的必要权限，涉嫌强制索取权限。

上述《报告》指出，检测发现，个别应用分发平台存在管理责任落实不到位的问题，缺乏完善的 App上架审核机制，可能导致部分存在漏洞或者恶意程序的App 被发布上线，存在侵害用户权益的风险。

针对数字金融App安全问题，《报告》亦对App相关监管部门、开发运营者、应用分发平台以及App用户提出建议。相关监管部门应强化跨部门安全联动管理、完善行业分管、协同联动的管理模式，加大治理力度。

《报告》指出，作为责任主体，App开发运营者的安全意识与防护能力至关重要。App开发运营者应明确App提供的服务类型和最小必要个人信息范围，仅申请App业务功能所必需的权限。同时，加强对嵌入使用的第三方SDK的安全检测。App应用分发平台应加强对App上架前的审核，对违法违规App不予上架。

此外，《报告》建议App用户从正规的应用分发平台下载App，并及时更新升级。同时，认真阅读隐私政策和权限提醒，关注相关权限是否为使用该App所必需的。设置高强度密码并定期更换，谨慎使用“一键登录”等弱验证的功能。返回搜狐，查看更多