近年來(lái)，依托云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等先進(jìn)的計(jì)算機(jī)技術(shù)，金融服務(wù)也趨于多樣化、便利化、智能化。隨著金融類(lèi)APP日漸成為金融產(chǎn)品的重要支撐手段，攻擊者也在不斷豐富其攻擊目標(biāo)和攻擊手段，以圖提升自身的攻擊變現(xiàn)能力。

據(jù)統(tǒng)計(jì)，2017年，金融行業(yè)移動(dòng)應(yīng)用總計(jì)達(dá)346,629款，金融類(lèi)APP目前面臨的突出問(wèn)題主要有銀行木馬、支付安全、敏感信息泄露、身份認(rèn)證繞過(guò)、仿冒問(wèn)題等。

基于通付盾移動(dòng)安全實(shí)驗(yàn)室全渠道應(yīng)用監(jiān)測(cè)平臺(tái)的大數(shù)據(jù)分析，通付盾移動(dòng)安全實(shí)驗(yàn)室全面梳理分析2017年度金融行業(yè)APP安全態(tài)勢(shì)，還原金融行業(yè)應(yīng)用安全本貌。

（一）金融行業(yè)應(yīng)用安全風(fēng)險(xiǎn)分析?

2017年，金融行業(yè)應(yīng)用總量達(dá)346,629款（銀行、證券及保險(xiǎn)類(lèi)應(yīng)用32,647款，第三方支付類(lèi)應(yīng)用總計(jì)11,859款，理財(cái)工具類(lèi)應(yīng)用總計(jì)302,123個(gè)），其中惡意應(yīng)用共計(jì)373款，仿冒應(yīng)用共計(jì)717款，高危應(yīng)用共計(jì)43,435款。

以下將從理財(cái)工具、證券、銀行等細(xì)分領(lǐng)域詳細(xì)分析移動(dòng)金融行業(yè)惡意、高危及仿冒應(yīng)用安全風(fēng)險(xiǎn)狀況。

1. 金融行業(yè)惡意應(yīng)用分析

金融行業(yè)APP惡意行為分布當(dāng)中，隱私竊取類(lèi)惡意應(yīng)用（占比41.32%）占比最高，其次是資費(fèi)消耗（28.01%）及流氓行為（9.24%）。

圖1金融行業(yè)惡意應(yīng)用行為分布

2017年，不少惡意應(yīng)用越界獲取用戶(hù)隱私權(quán)限，越界讀取位置信息、通話(huà)記錄、訪問(wèn)聯(lián)系人等用戶(hù)核心隱私權(quán)限。一些理財(cái)工具類(lèi)應(yīng)用（包括P2P理財(cái)類(lèi)APP），通過(guò)讀取通訊錄信息向借債人的家人及好友催討債務(wù)，侵犯用戶(hù)隱私信息；用戶(hù)的短信內(nèi)容常常包含銀行卡余額、改密驗(yàn)證碼等敏感信息，部分惡意應(yīng)用通過(guò)讀取用戶(hù)短信內(nèi)容，竊取用戶(hù)賬號(hào)密碼信息。

此外，金融行業(yè)理財(cái)工具移動(dòng)應(yīng)用中存在大量搶紅包插件類(lèi)應(yīng)用、作弊器應(yīng)用，這些插件類(lèi)程序安全風(fēng)險(xiǎn)極高。用戶(hù)在安裝此類(lèi)插件過(guò)程中，很有可能在后臺(tái)靜默下載安裝垃圾應(yīng)用，從而造成資費(fèi)消耗。同時(shí)一些插件攜帶惡意代碼，向用戶(hù)推送廣告信息；部分插件通過(guò)誘導(dǎo)用戶(hù)獲取不相關(guān)的用戶(hù)權(quán)限、盜取用戶(hù)隱私信息，造成用戶(hù)信息泄露。

圖2部分紅包插件類(lèi)應(yīng)用示意圖

2. 金融行業(yè)高危應(yīng)用分析

安全性是金融類(lèi)移動(dòng)應(yīng)用開(kāi)發(fā)優(yōu)先考慮的因素之一，因此，在安全漏洞方面，金融類(lèi)移動(dòng)應(yīng)用的高危應(yīng)用占比情況總體優(yōu)其他行業(yè)，但其中隱藏的安全風(fēng)險(xiǎn)依然不容小覷。銀行、證券、保險(xiǎn)、理財(cái)工具及第三方支付這五大金融領(lǐng)域中，證券行業(yè)移動(dòng)應(yīng)用脆弱性最高，行業(yè)內(nèi)高危應(yīng)用占比達(dá)22.87%，其次是保險(xiǎn)（20.56%）和第三方支付（12.99%）。

圖3金融行業(yè)高危應(yīng)用占比分布

2017年2月27日，某金融信息服務(wù)有限公司發(fā)現(xiàn)其旗下一款A(yù)PP軟件被多人利用黑客手段攻擊，半天時(shí)間內(nèi)即被非法提現(xiàn)人民幣1056萬(wàn)元，經(jīng)查，緣由是一名嫌疑人利用APP平臺(tái)漏洞，使用黑客手段篡改APP充值過(guò)程中的請(qǐng)求金額數(shù)據(jù)，導(dǎo)致平臺(tái)入賬金額異常，并迅速進(jìn)行提現(xiàn)操作實(shí)施犯罪。

總體而言，金融行業(yè)移動(dòng)應(yīng)用存在安全漏洞數(shù)量較多。中高危漏洞占比達(dá)10.37%（高危漏洞占比2.01%，中危漏洞占比7.36%），安全保護(hù)意識(shí)強(qiáng)的金融機(jī)構(gòu)會(huì)對(duì)自身移動(dòng)應(yīng)用進(jìn)行加固保護(hù)，但安全意識(shí)薄弱、安全預(yù)算缺乏的金融機(jī)構(gòu)在移動(dòng)應(yīng)用開(kāi)發(fā)過(guò)程中注重移動(dòng)應(yīng)用開(kāi)發(fā)速度過(guò)程中，對(duì)移動(dòng)應(yīng)用開(kāi)發(fā)規(guī)范及安全性忽視，致使移動(dòng)應(yīng)用存在明顯較多的安全漏洞，用戶(hù)資金財(cái)產(chǎn)安全難以得到有效保障。

圖4移動(dòng)金融高危應(yīng)用安全漏洞等級(jí)分布

高危漏洞類(lèi)型方面，目前共監(jiān)測(cè)到17種不同類(lèi)型高危漏洞，其中未移除有風(fēng)險(xiǎn)的WebView系統(tǒng)隱藏接口占比最高，達(dá)21.08%；WebView遠(yuǎn)程代碼執(zhí)行安全漏洞（占比20.16%）位列第二；WebView組件忽略SSL證書(shū)驗(yàn)證錯(cuò)誤漏洞（占比16.79%）位列第三。

圖5移動(dòng)金融高危應(yīng)用高危漏洞類(lèi)型分布

3. 金融行業(yè)仿冒應(yīng)用分析

2017年，金融行業(yè)仿冒應(yīng)用總計(jì)717款，占金融行業(yè)總應(yīng)用0.47%。這些仿冒應(yīng)用大都為了竊取用戶(hù)銀行賬號(hào)、密碼、身份證等重要信息。如：一些仿冒APP偽裝成銀行登錄界面，誘導(dǎo)用戶(hù)輸入銀行帳號(hào)密碼、身份證等重要信息，用戶(hù)一旦提交，導(dǎo)致隱私信息泄露;仿冒APP安裝后，病毒會(huì)長(zhǎng)時(shí)間潛伏在手機(jī)里，在后臺(tái)默認(rèn)安裝垃圾應(yīng)用，甚至被不法分子遠(yuǎn)程控制。

圖6銀行業(yè)仿冒與正版應(yīng)用分布

• 典型仿冒應(yīng)用案例分析??

通過(guò)通付盾全渠道應(yīng)用監(jiān)測(cè)平臺(tái)，發(fā)現(xiàn)存在一款“螞蟻聚寶”的仿冒應(yīng)用。此款應(yīng)用除了圖標(biāo)、名稱(chēng)與正版相同外，其他完全與螞蟻金融無(wú)關(guān)。由于仿冒應(yīng)用圖標(biāo)與正版應(yīng)用相似度極高，用戶(hù)難以區(qū)分。

由下圖對(duì)比可見(jiàn)，仿冒應(yīng)用圖標(biāo)邊緣粗糙、呈鋸齒狀。而正版的圖標(biāo)整體更為柔和、邊緣圓滑清晰。

圖7 ?仿冒/正版應(yīng)用Apk圖標(biāo)分析

正版應(yīng)用測(cè)試運(yùn)行界面為如下圖所示的用戶(hù)提示登錄界面。而該款應(yīng)用經(jīng)測(cè)試運(yùn)行發(fā)現(xiàn)，捆綁了騰訊應(yīng)用寶、京東金融等廣告推廣，誘導(dǎo)用戶(hù)下載安裝。

圖8?螞蟻聚寶APP正版與仿冒運(yùn)行界面

• Apk簽名分析

正版Apk的包名為com.antfortune.wealth，而此款應(yīng)用的包名為tv.rgmopjji.hrjvks.pqvhopjr。兩款的Apk簽名如下圖所示也存在較大出入。

圖9 正版應(yīng)用APK簽名

圖10 仿冒應(yīng)用APK簽名

• Apk代碼分析

兩款應(yīng)用代碼不存在任何交集，正版含有多有alipay相關(guān)的包文件，而仿版僅有個(gè)經(jīng)過(guò)混淆的包文件，用戶(hù)權(quán)限等都不相同。

圖11?正版應(yīng)用包文件截圖

圖12 仿冒應(yīng)用包文件截圖

?(二) 金融APP越界獲取用戶(hù)隱私權(quán)限狀況?

2017年，移動(dòng)應(yīng)用越界獲取用戶(hù)隱私權(quán)限現(xiàn)象嚴(yán)重，尤其越界讀取位置信息現(xiàn)象普遍，由于互聯(lián)網(wǎng)金融的普及，越來(lái)越多的用戶(hù)習(xí)慣于在手機(jī)上通過(guò)APP進(jìn)行理財(cái)投資。檢測(cè)發(fā)現(xiàn)，投資理財(cái)類(lèi)APP越界獲取“讀取通話(huà)記錄”、“讀取位置信息、“打開(kāi)藍(lán)牙開(kāi)關(guān)”和“訪問(wèn)聯(lián)系人”權(quán)限較多，分別有7.7%、5.7%、4.2%和4.1%的APP沒(méi)有相關(guān)功能而獲取了以上四種權(quán)限。

圖7投資理財(cái)類(lèi)APP越界獲取不同隱私權(quán)限比例

由于投資理財(cái)類(lèi)APP與身份信息、銀行卡號(hào)、支付密碼等重要個(gè)人隱私相關(guān)，如APP越界獲取通話(huà)記錄及聯(lián)系人，可能導(dǎo)致用戶(hù)數(shù)據(jù)泄露，建議用戶(hù)注意此類(lèi)APP的越界權(quán)限。

?(三) 金融APP隱私政策合規(guī)安全分析?

《網(wǎng)絡(luò)安全法》自生效以來(lái)，對(duì)企業(yè)的網(wǎng)絡(luò)產(chǎn)品、安全服務(wù)、跨境數(shù)據(jù)傳輸、個(gè)人信息保護(hù)等方面提出了更高的要求。企業(yè)在收集消費(fèi)者個(gè)人信息之前應(yīng)當(dāng)?shù)玫较M(fèi)者的授權(quán)或同意。取得消費(fèi)者授權(quán)或同意的方式可以是在用戶(hù)協(xié)議中植入消費(fèi)者授權(quán)或同意企業(yè)收集、使用其個(gè)人信息的條款，也可以是通過(guò)單獨(dú)的隱私協(xié)議或說(shuō)明等其它書(shū)面方式取得消費(fèi)者授權(quán)或同意。因此，目前絕大多數(shù)APP都有隱私政策條款。

以《花唄用戶(hù)服務(wù)合同》為例。在手機(jī)上使用支付寶APP開(kāi)通花唄時(shí)，花唄會(huì)提示用戶(hù)“點(diǎn)擊上述按鈕同意《花唄用戶(hù)服務(wù)合同》《芝麻服務(wù)協(xié)議》及授權(quán)條款”。如果用戶(hù)點(diǎn)擊《花唄用戶(hù)服務(wù)合同》《芝麻服務(wù)協(xié)議》可以進(jìn)入合同頁(yè)面，其中就有關(guān)于“信息收集、使用、共享”條款。

圖8支付寶APP隱私政策條款截圖

總體來(lái)看，大部分移動(dòng)應(yīng)用的隱私政策都存在言語(yǔ)模糊、更新緩慢、暗藏格式條款等弊?。粡膬?nèi)容來(lái)看，描述企業(yè)權(quán)利以及可免除責(zé)任的居多，描述企業(yè)在保護(hù)用戶(hù)個(gè)人信息時(shí)應(yīng)盡義務(wù)的寥寥無(wú)幾。多數(shù)移動(dòng)應(yīng)用未在隱私政策中說(shuō)明，產(chǎn)品和服務(wù)停止運(yùn)營(yíng)時(shí)處理用戶(hù)個(gè)人信息的方式；未明確界定“個(gè)人信息”“非個(gè)人信息”“個(gè)人敏感信息”等定義；未提及給予用戶(hù)退訂或拒絕的權(quán)利，并提供有效途徑及操作指引等。

《信息安全技術(shù)個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)規(guī)定，互聯(lián)網(wǎng)產(chǎn)品收集用戶(hù)個(gè)人信息應(yīng)符合最小化原則，但一些金融類(lèi)應(yīng)用甚至要求用戶(hù)授權(quán)讀取短信、訪問(wèn)相冊(cè)。數(shù)據(jù)顯示，移動(dòng)金融交互類(lèi)應(yīng)用中，47.5%的移動(dòng)應(yīng)用向系統(tǒng)申請(qǐng)了讀取短信的權(quán)限，而用戶(hù)的短信內(nèi)容通常包含銀行卡余額、改密驗(yàn)證碼等敏感信息，一旦泄露后果嚴(yán)重。

收集地理位置信息也是移動(dòng)金融類(lèi)應(yīng)用的常見(jiàn)“套路”，但事實(shí)上借貸類(lèi)、支付類(lèi)亦或理財(cái)類(lèi)、實(shí)體銀行的線上產(chǎn)品，都沒(méi)有功能或服務(wù)必須依靠收集地理位置信息才能實(shí)現(xiàn)。

來(lái)源 | 金融科技安全

作者 | 通付盾移動(dòng)安全實(shí)驗(yàn)室

免責(zé)聲明：轉(zhuǎn)載內(nèi)容僅供讀者參考。如您認(rèn)為本公眾號(hào)的內(nèi)容對(duì)您的知識(shí)產(chǎn)權(quán)造成了侵權(quán)，請(qǐng)立即告知，我們將在第一時(shí)間核實(shí)并處理。