信通院评测了13万个金融类App 70%存高危漏洞

现在，无论是借钱、投资还是交易支付，大家用金融类app的频率大大增加，这些和“钱”有关的app到底安全性几何？最近，中国信通院发布了一份《2019金融行业移动app安全观测报告》。

截止2019年9月11日，中国信通院的报告团队从232个安卓应用市场中收录了133327款金融行业app。

从观测对象的地域分布来看，有130022款可以明确归属省份，全国34个省级行政区均有金融行业app生成，平均每个省份生成金融行业app3824款。金融行业app地域分布不均，广东、湖北和北京分别以29.60%、21.30%和12.96%的高占比排名金融行业app生成数量前三,而*、青海等6省份总占比仅有0.18%。 

从金融行业app细分领域来看，借贷类app包揽前三名中的两个席位。其中，面向个人用户的消费金融类app数量最多，占观测总数的36.74%；面向企业的p2p金融类app排名第三，占观测总数的11.38%；彩票类app排名第二，占观测总数的27.19%。

不同细分领域app占比如图所示：

重头戏来了。

1、以数据泄露为代表的高危漏洞风险

在本次观测中，发现有70.22%的金融行业app存在高危漏洞，攻击者可利用这些漏洞窃取用户数据、进行app仿冒、植入恶意程序、攻击服务等,对app安全具有严重威胁。其中top3的高危漏洞均存在导致app数据泄露的风险。

2、以流氓行为代表的恶意程序感染风险

本次观测发现，共有8217款金融行业app被检测出恶意程序，感染率为6.16%，主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为，给app用户的个人隐私及财产安全带来危害。其中受到流氓行为恶意程序感染的app占比最多，约为82.02%。 

3、使用第三方sdk引入安全风险

本次观测发现，共有20.48%的金融行业app被嵌入了第三方sdk，嵌入的sdk数量共计高达104005个。在嵌入sdk的金融行业app中，有45%的app嵌入了5个及以上的sdk。由于第三方sdk存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险，使得金融行业app也面临一定的安全隐患。 

4、违规索权带来的隐私泄露风险

本次观测中选取了具有典型代表性的12款下载量过亿的金融行业app进行抽样分析经研究发现，多款app存在不同程度的超范围索取用户权限的情况，在隐私政策方面也存在多种违法违规行为，给用户个人隐私信息安全带来隐患。app用户的个人隐私信息一旦泄露，将带来严重的后果，如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等，会严重损害app用户的利益。

5、安全加固不足暴露安全风险

本次观测发现，仅有17.08%的金融行业app进行了安全加固，超过80%的金融行业app在应用市场“裸奔”，未进行任何的安全加固。然而,基于java语言编写的安卓应用程序如不进行加固，则其打包的apk文件很容易被反编译工具进行逆向分析，进而暴露风险。