2019中国金融科技产业峰会丨中国信通院姜鼎：解读《移动金融应用安全白皮书（2019年）》？_问答_优艾设计网

2019(第二届)中国金融科技产业峰会于10月31日11月1日在北京国际会议中心隆重召开。11月1日下午举行的金融业网络信息安全分论坛上，中国信息通信研究院安全研究所高级研究员姜鼎带来了《移动金融应用安全白皮书(2019年)》的解读。

我的代表报告队很荣幸解读了《移动金融应用安全白皮书(2019年)》。

白皮书共分为

一、移动金融应用的安全背景

背景1:移动互联网迅速发展。截至2019年6月，中国手机网民规模达到8.47亿人，网民使用手机网络比例达到99%。我国基于安卓系统的移动应用超过286万，其中移动金融应用达到13.3万。随着移动互联网的快速发展，应用安全需要加强。从右下角图可以看出，移动互联网恶意程序的样品数量呈逐年增加的趋势。

背景2：网络安全已经上升到国家安全战略层面。2018年以来美国相继发布多份网络安全政策文件，国家安全局成立网络安全理事会，欧盟2018年5月正式实施了通用数据保护条例。中国习近平总书记指出，没有网络安全就没有国家安全，网络安全法等法律法规和战略计划相继发表。另外，澳大利亚、新加坡等其他国家发表了适用于当地的网络安全战略和立法。

背景3:金融领域成为网络安全的重大灾区。左图可以看出33%的网络攻击发生在金融领域，金融领域是网络攻击最为集中的一个领域。右图是网络攻击在金融领域造成重大经济损失的几个典型案例。在此背景下，移动金融的应用安全受到政策和监督的重视，制定了一系列重磅政策法规和标准规范。其中2019年1月，四部门共同成立了APP特别管理工作组，在全国组织了特别管理活动。

二、移动金融应用程序的分布状况

移动金融应用程序从分布来看有三个特点:

1、地区分布不均匀。移动金融APP覆盖全国34个省级行政区，广东、湖北、北京排名前三，西藏、青海排名靠后。从金融业分类来看，47%的银行类APP集中在广东、北京、湖北、上海四个省，69%的证券类APP集中在广东、北京、上海、湖北、浙江五个省，53%的保险类APP集中在广东、北京两个省。也就是说，APP主要在经济发达的地区。

2、应用市场集中度高。我们共研究APP来自232个应用市场，其中59%的PP集中在前10个应用市场，集中度非常高。

3、贷款类APP占一半江山。消费金融类APP和P2P类APP占我们研究总数的48%。

三、移动金融应用安全风险分析

这是白皮书的重要内容，我在这里重点解读。

我们根据232个安卓应用市场收录的移动行业金融APP进行研究分为5种安全风险:

1、以数据泄漏为代表的高风险漏洞风险。我们的研究表明，70%的金融业APP有62.7万个高风险脆弱性记录，平均每个APP有6.7个高风险脆弱性，攻击者可以利用这些脆弱性窃取用户数据进行APP仿制，嵌入恶意程序和攻击程序等。

2、以流氓行为为代表的恶意程序风险。从地域分布来看，被恶意程序干扰的APP分布在香港以外的33个省级行政区，其中江苏、广东、北京排名前三优艾设计网_设计圈，被恶意程序感染的APP数量的80%。共有8217款金融行业APP被查出恶意程序，感染率为6.16%。

3.使用第三方SDK引进的安全风险。超过60%的第三方SDK存在安全漏洞，容易嵌入恶意程序，同时存在隐藏收集用户个人信息等安全问题。据统计，20%的金融APP嵌入第三方SDK，从SDK分类来看，全行业APP嵌入的SDK主要集中在框架类SDK上，金融类APP以推进类SDK为主，这也是值得关注的安全风险。

4、违反索赔权带来的隐私安全风险。我们发现这12个应用程序有不同程度的超范围要求用户权限，其中9个以上的应用程序共同要求权限包括左图25种权限，包括8种高敏度权限、7种中敏度权限和10种低敏度权限。另外，APP有违法违规的嫌疑，我选择其中三个典型的问题，介绍

第一，个别的隐私政策不足。例如，这个贷款类APP的隐私政策是用户注册服务协议的一部分，违反了隐私政策需要独立写文章的规定。

第二，涉嫌阻碍用户删除个人信息。这款炒股类APP隐私政策里提出满足以下情形才可以提出删除APP，违反APP专项治理小组发布自评估报告里要求的支持用户删除个人信信息的规定。

第三，不提供引入第三方SDK的政策。该金融类APP在其隐私政策中提出访问的第三方SDK服务有隐私政策，不受隐私政策的制约，不承担法律责任，有泄露用户隐私的风险。

5、缺乏安全加固带来的安全风险。有三个特点:一是强化意识薄弱，只有17%的行业APP进行强化，二是强化厂商集中，主要选择360、腾讯、爱加密等12家安全厂商进行安全强化，其中360和腾讯达到93%，三是贷款类APP强化率低，贷款类APP占所有金融类APP的约48%

四、移动金融应用的安全创新构想

我们提出了以

1、以移动金融应用安全为中心的整体设计，建议APP与系统合作防御作为安全战略的重要组成部分，保障APP业务的全生命周期安全。

2.建设符合监督发展的合规检查能力。移动金融面临的监督形势逐渐严峻，企业应具备个人信息安全检测能力和恶意行为检测能力，履行网络安全保护责任和义务，保护公民隐私信息。

3、全生命周期的移动金融应用安全防护策略。建立事前预防、事中决策、事后分析的深度防护。

4、积极风险感知取代被动影响的防御思维。

五、移动金融应用安全前景展望