freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

中国信通院联合爱加密发布《移动金融应用安全白皮书(2019年)》
2019-11-06 16:37:54


10月,中国信通院联合爱加密等单位共同编写了《移动金融应用安全白皮书(2019年)》 ,白皮书主要介绍了移动金融的安全背景、分布情况、安全风险、安全创新思路以及前景展望。重点剖析了移动金融App面临的高危漏洞、恶意程序、SDK使用安全、违规索权、缺乏加固五大安全风险,并提出全新的安全建设思路和应对策略。

5108d41580964f6b930b74bf31e8fdf0.jpeg

如今,中国金融科技行业的发展已从单纯的市场开拓阶段进入到了基于安全风险防范的发展阶段,移动应用监管政策也日趋严格。金融监管部门发布多项规定保障App安全,等保2.0也对移动金融应用安全提出新要求,移动App个人信息安全已然成为监管重点。

01

移动金融应用的安全风险主要集中在

(一)以数据泄露为代表的高危漏洞风险

报告团队对133327款金融行业App进行扫描,共计检测出1979696条漏洞记录 ,涉及60种漏洞类型,其中有21种为高危漏洞。 金融行业App中,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞。

从高危漏洞类型来看(Top10高危漏洞介绍及危害说明参见附录C),存在动态注册Receiver风险 App数量最多,占观测总数的53.42%;Janus漏洞的与Web View远程代码执行漏洞紧随其后,分别占据观测总数的53.25%与53.18%。

2245cad52d654cf581cb1e45df8dbbe6.png

高危漏洞类型分布(Top10)

(二)以流氓行为为代表的恶意程序风险

共有8217款 金融行业App被检测出含有恶意程序,恶意程序感染率为6.16%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大威胁。

从App细分领域角度来看,受到恶意程序感染的App数量前三的类别分别为消费金融类、彩票类、P2P金融类App ,分别有4166款、2378款、949款App已经受到恶意程序感染。

e8d1ecf98e07468781b3d8d90ad92c94.png

各细分领域受到恶意程序感染的App分布情况

(三)使用第三方SDK引入安全风险

据爱加密发布的《全国移动应用SDK市场占有率分析报告》 统计,有超过60%的SDK含有多种漏洞, 且由于SDK被广泛使用到大量App中,漏洞造成的影响范围极广。报告团队发现,有27300款金融行业App嵌入了第三方SDK,占全部金融行业App的20.48%。这些App共嵌入104005个第三方SDK,平均每款App嵌入3.8个。

(四)违规索权带来的隐私泄露风险

研究发现,12款App均存在不同程度的超范围权限采集现象。这些App共获取了29种高敏感权限、15种中敏感权限、33种低敏感权限。

金融行业App基本业务功能收集的必要信息包括:“手机号码”、“账号信息”、“身份信息”、“银行账户信息”、“个人征信信息”、“紧急联系人信息”以及“借贷交易记录”7项内容。应用程序访问设备的手机功能及修改或删除存储卡中的内容涉嫌超范围获取权限。

23598b1750074a64b75803a4ccbf4d0c.png

某金融App隐私政策中收集用户指纹、面部等生物信息

此外,App惯常获取的高敏感权限还包括:发起电话呼叫、录制音频、拍摄照片和录制视频、读取系统日志等,给用户隐私带来巨大安全隐患。

(五)安全加固不足带来的安全风险

“安全加固” 是维护App安全的重要防护手段,它能够有效阻止对App的反汇编分析。经过安全加固的App,不仅其系统稳定性得到提升,还拥有规避一定程度安全风险的能力。经检测,22777款金融行业App至少进行过一次安全加固,仅占观测的金融行业App总量的17.08%。金融行业App开发者对于安全加固的重视程度不足,仍有超过8成的金融行业App未进行过安全加固。

02

移动金融应用安全创新思路

(一)以移动金融应用安全为核心的整体设计

企业应该寻求应对日常安全威胁更为全面的解决方案,通过建立协同的安全防护体系来实现威胁的监测、预警和响应。 将App业务与系统协同防御作为安全战略的关键组成部分,需要全面、多维度、多层次的安全意识与能力融合来保障App业务全生命周期安全。

(二)建设符合监管发展的合规检测能力

移动金融面临的监管形势逐步趋严,为保障行业健康有序发展,监管部门应帮助App运营单位加强合规性安全检测能力建设,履行网络安全保护责任与义务,保护公民隐私信息,落实安全主体责任和网络实名验证、建立健全安全管理制度,防止数据泄露、窃取或篡改等问题。包括个人信息安全检测能力和恶意行为检测能力。

(三)全生命周期的移动金融应用安全防护策略

对于移动金融应用风险的防护,从策略上看,根据防护阶段的不同,可分为事前、事中、事后三大类全生命周期安全防护策略。

1.事前预防

通过设置设备指纹、验证码、数据加密等安全加固手段,增强App自身安全性,提高移动应用事前预防能力。 同时,要对App自身及应用业务开展模拟攻击测试,在各业务场景中针对单个模块或多个模块的组合分别测试,发现潜在风险点。

2.事中决策

事中即在风险发生的同时能够实时感知。 通常的做法是基于恶意流量的特征匹配,对网络中的异常流量进行检测,目前也有一些新的思路是通过AI技术进行智能判断。

3.事后分析

事后针对存量数据进行分析。 通常使用的手段是对大数据进行建模,找出在事中阶段未能检测出的异常流量。

单一种类的防护产品一般都可归属为这三类之一,但是在实际场景中,随着攻击手段的不断升级,已经很难依靠单一手段就能实现有效防护。纵深式防御 正成为主流,通过多种技术的结合,在不同的时间点、不同的攻击入口,建立多层防御体系。

(四)主动风险感知替代被动响应的防御思维

如从常见的设备风险、环境风险、账号风险、行为风险等维度,主动对于移动金融应用 风险进行感知。

未来,爱加密将会继续联合监管部门、相关机构等,共同促进移动安全生态圈的构建,保障不同行业、不同场景的移动应用安全持续合规、健康发展。


# 移动安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者