2014上半年国内安卓银行应用隐私泄露和安全隐患研究报告

2014-05-21 +14 208372人围观 ,发现 12 个不明物体 安全报告无线安全

[20140525更新]

(更新: 报告发布之后,有些银行很热心地给我们发来的最新的应用版本让我们帮助再次测试,有些最新版本比之前的版本更安全,说明银行业对手机银行的安全重视程度高。再次表示感谢!
此份报告的目的主要不是排名,而是做一个手机银行方面的调研。我们真诚的希望大家都是赢家,而且手机用户是最大的赢家!)

2014年是中国国际互联网成立至今的第20周年。移动通信技术的快速发展导致移动设备的数量呈指数级增长,2014年手机网民大概有5亿人。手机病毒的指数级增长无疑是移动安全的爆发点,具体表现在移动支付安全是移动互联网新的挑战。新的移动应用和新功能,如网上银行、游戏、和手机收费等,为用户带来了私人隐私泄露等安全风险。

目前大多数银行使用自己开发的移动应用软件来运行移动金融业务来为客户提供移动金融服务。不幸的是,由于缺少规范的安全监管标准和流程,许多银行不能对其应用软件充分执行必要的安全性测试,结果导致许多银行移动应用可能会在不知不觉的情况下将重要的数据信息暴露给黑客,将使用应用的银行客户置于风险之中。

为了更好地对国内银行的移动应用的安全现状做全方面的调研和评估,移动互联网安全公司VisualThreat在2014年上半年度收集了国内近80家银行开发的移动银行应用,通过为每一款手机应用生成详细的风险分析报告和计算对应的安全认证分数(MobileThreatCert),对全部应用进行了安全性的量化评估,最终基于结果得出了银行应用的安全排名。报告的安全评估内容主要分为用户隐私泄漏和安全隐患两个方面。这份报告是就我们所知的到目前为止针对银行安卓应用覆盖面最广的研究报告之一。


报告摘要:
每10个安卓银行应用中有6个具有中度到高度隐私泄露风险
从个人用户而言,隐私信息泄露是用户最关心的。在收集的近80家国内银行的手机银行应用中,VisualThreat发现超过65%的应用存在中度到高度隐私泄漏问题。

这个数字与我们之前的调研结果吻合:大部分安卓应用商店只有有限的或甚至没有安全验证,导致应用商店里的大量流行的安卓应用都存在有潜在威胁的风险。
隐私泄露风险评估矩阵
研究人员定义了5个危险行为类型:数据泄漏、短信活动、文件操作、监视和网络活动。在此基础上,为每一个移动应用生成一份详细的应用隐私泄露风险分析报告,并计算出对应MobileThreatCert值,用1到100之间的数字去指示应用程序的安全指数。
安全隐患风险评估矩阵
安全隐患包括3个方面:数据存储安全、功能安全和代码安全。之所以选择这三点,因为它们是移动应用安全隐患检测最基本的方面。这几点的安全验证代表了移动应用软件安全开发的水平。这些方面做不好,其他更高级的保护措施也无从谈起。我们后续的报告里将包括更多的安全隐患评测点。
移动时代,平台从浏览器转变到独立运行的移动应用;
应用将代替网站成为移动互联网的入口。手机病毒的爆发刚刚开始,今后几年我们将会看到大量的手机病毒自动制造工具,高级变异病毒的出现。同时大量企业由于IT架构的改变而将服务部署到手机上,加上企业数据和用户私人数据的混杂和手机的随身携带性,使得手机安全战场更加硝烟弥漫。我们希望读者除了借助外部安全厂商的工具进行保护之外,自身还要养成对个人数据保护的敏感性,内外兼修,才能达到良好的保护效果。

结束语

移动时代,应用为王!平台从浏览器转变到独立运行的移动应用; 应用将代替网站成为移动互联网的入口。手机病毒的爆发刚刚开始,今后几年我们将会看到大量的手机病毒自动制造工具,高级变异病毒的出现。同时大量企业由于IT架构的改变而将服务部署到手机上,加上企业数据和用户私人数据的混杂和手机的随身携带性,使得手机安全战场更加硝烟弥漫。我们希望读者除了借助外部安全厂商的工具进行保护之外,自身还要养成对个人数据保护的敏感性,内外兼修,才能达到良好的保护效果。

声明

 本报告采用公开、合法的信息,由VisualThreat信息安全司的研究人员运用相应的研究方法,对所研究的对象做出的安全分析评判。本报告代表VisualThreat观点,仅供读者参考,并不构成任何建议。相关银行或者用户须根据情况自行判断,VisualThreat对银行品牌影响和用户的使用行为不负任何责任。VisualThreat公司力求信息的完整和准确,但是并不保证信息的完整性和准确性. 报告中提供的数据、观点、文字等信息不构成任何法律证据不代表官方机构意见。如果对报告数据有异议,可以联系VisualThreat公司。如果报告中的研究对象发生变化,我们将不另行通知。未获得VisualThreat公司的书面授权,任何人不得对本报告进行任何形式的进行有悖原意的删节和修改。如引用、刊发,需注明出处为“VisualThreat信息安全公司”。

查看完整报告,请访问下载 这里

发表评论

已有 12 条评论

取消
Loading...
css.php