020羊城论坛

标题: 信通院发布金融行业App安全报告：四大银行均涉嫌超范围索权 [打印本页]

作者: 此生何以论未央 时间: 2020-1-14 15:25
标题: 信通院发布金融行业App安全报告：四大银行均涉嫌超范围索权
近日，中国信息通信研究院发布《2019年金融行业移动App安全观测报告》（简称《报告》）。
《报告》检测了13万余款金融行业App，其中七成存在高危漏洞。在抽查的12款下载量过亿的App中，四大银行均存在超范围获取权限的情况。
7成多App存在高危漏洞
《报告》对133327款金融类App进行了测评，涉及消费金融类、彩票类、P2P金融类等13类。
在所有App中，共检测出近200万条漏洞记录，逾七成存在高危漏洞。平均每款App存在 20.3 个安全漏洞，包括6.7 个高危漏洞。
从App分类来看，互联网第三方支付和信托类App的高危漏洞问题较为突出，存在高危漏洞 App 的比例为 93.87%和 93.44%。保险、投资理财、外汇等分类的App高危漏洞问题也相对严重，存在高危漏洞的 App 比例超过 85%。
《报告》称，攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等，对App安全具有严重威胁。其中，排名前三的高危漏洞均存在导致App数据泄露的风险，比如账号密码、短信内容等被窃取。
金融、彩票、P2P类App被恶意程序感染最多
《报告》指出，在所有被检测的App中，共有8217款被检测出恶意程序，感染率为6.16%。在被感染的App中，82.02%的App被具有流氓行为的恶意程序感染，可在用户未授权的情况下，弹出广告窗口等；9.1%的App受到具有信息窃取行为的恶意程序感染，这些恶意程序可窃取用户短信、通讯录、位置信息等敏感信息。
[attach]14104[/attach]App恶意程序类型分布情况。

从App分类来看，金融类、彩票类和P2P类被恶意程序感染的最多，分别有有 4166 款、2378 款、949 款。
四大银行App涉嫌超范围获取权限
近来，敏感权限和隐私信息泄露是App安全防范关注的焦点。《报告》指出，此次调研对12款下载量过亿的App进行敏感权限获取情况和隐私政策方面存在的问题进行了分析。
结果显示，包括中国建设银行、中国交通银行、中国银行、中国工商银行、中国农业银行等在内的12款App均存在不同程度超范围获取权限的情况。它们惯常获取的高敏感权限包括读取录制音频、拍摄照片和录制视频、读取系统日志等。
[attach]14105[/attach]调研的12款App隐私权限获取情况。

在隐私条款中，一些App存在不合理的条款。比如某App要求用户注销账户时提供身份证正反面照片、手持身份证上半身照片、需注销的手机号及手机营业厅“个人信息”页面截图等。
《App违法违规收集使用个人信息自评估指南》规定，App应支持用户注销账号，且不得收集与业务功能无关的个人信息。《报告》指出，上述App的注销要求不仅增加了注销难度，还违规获取个人隐私。
文/南都个人信息保护研究中心研究员尤一炜

作者: Smallday是我 时间: 2020-1-14 15:36
严处这些垃圾app。

作者: 红旗飘飘110 时间: 2020-1-14 15:49
深有体会2019年一号当天年我手机屏幕上突然弹出来新闻一大片到现在怎么也卸载不了，两台手机全都是这样。弄得我苦不堪言，手机拿到手页面就弹出一大堆，新闻。有同感的，请点赞

作者: 此生何以论未央 时间: 2020-1-14 16:01
保护个人隐私信息意识薄弱，其实根本是自主觉醒意识不强

作者: R晴海i 时间: 2020-1-14 16:13
金融乱则………

作者: 小廖@ 时间: 2020-1-14 16:25
我没感觉哪个app是恶意的，感觉都很不错吧？

欢迎光临 020羊城论坛 (http://www.020.sh.cn/)