牛仔和外星人演员表
當前位置:資訊 > 正文

13萬個金融類App 竟有70%存高危漏洞?

2019-11-05 11:18:50  來源:雷鋒網

現在,無論是借錢、投資還是交易支付,大家用金融類App的頻率大大增加,這些和“錢”有關的App到底安全性幾何?最近,中國信通院發布了一份《2019金融行業移動App安全觀測報告》。

截止2019年9月11日,中國信通院的報告團隊從232個安卓應用市場中收錄了133327款金融行業App。

從觀測對象的地域分布來看,有130022款可以明確歸屬省份,全國34個省級行政區均有金融行業App生成,平均每個省份生成金融行業App3824款。金融行業App地域分布不均,廣東、湖北和北京分別以29.60%、21.30%和12.96%的高占比排名金融行業App生成數量前三,而西藏、青海等6省份總占比僅有0.18%。?

從金融行業App細分領域來看,借貸類App包攬前三名中的兩個席位。其中,面向個人用戶的消費金融類App數量最多,占觀測總數的36.74%;面向企業的P2P金融類App排名第三,占觀測總數的11.38%;彩票類App排名第二,占觀測總數的27.19%。

不同細分領域App占比如圖所示:

信通院評測了13萬個金融類App 70%存高危漏洞

重頭戲來了。

1、以數據泄露為代表的高危漏洞風險

在本次觀測中,發現有70.22%的金融行業App存在高危漏洞,攻擊者可利用這些漏洞竊取用戶數據、進行App仿冒、植入惡意程序、攻擊服務等,對App安全具有嚴重威脅。其中Top3的高危漏洞均存在導致App數據泄露的風險。

2、以流氓行為代表的惡意程序感染風險

本次觀測發現,共有8217款金融行業App被檢測出惡意程序,感染率為6.16%,主要涉及的惡意行為包括流氓行為、信息竊取、惡意傳播、資費消耗、遠程控制等多種惡意行為,給App用戶的個人隱私及財產安全帶來危害。其中受到流氓行為惡意程序感染的App占比最多,約為82.02%。?

3、使用第三方SDK引入安全風險

本次觀測發現,共有20.48%的金融行業App被嵌入了第三方SDK,嵌入的SDK數量共計高達104005個。在嵌入SDK的金融行業App中,有45%的App嵌入了5個及以上的SDK。由于第三方SDK存在隱蔽收集用戶信息、自身安全漏洞易被不法分子利用等安全風險,使得金融行業App也面臨一定的安全隱患。?

4、違規索權帶來的隱私泄露風險

本次觀測中選取了具有典型代表性的12款下載量過億的金融行業App進行抽樣分析經研究發現,多款App存在不同程度的超范圍索取用戶權限的情況,在隱私政策方面也存在多種違法違規行為,給用戶個人隱私信息安全帶來隱患。App用戶的個人隱私信息一旦泄露,將帶來嚴重的后果,如騷擾電話、信息詐騙、惡意推銷、網絡情感詐騙等,會嚴重損害App用戶的利益。

5、安全加固不足暴露安全風險

本次觀測發現,僅有17.08%的金融行業App進行了安全加固,超過80%的金融行業App在應用市場“裸奔”,未進行任何的安全加固。然而,基于Java語言編寫的安卓應用程序如不進行加固,則其打包的APK文件很容易被反編譯工具進行逆向分析,進而暴露風險。?

推薦閱讀

5G進度落后 諾基亞決定拋棄FPGA開發計劃

自諾基亞于去年決定開始開發5G網絡設備后,便計劃使用FPGA(現場可編程門陣列)芯片來完成ReefShark芯片組的開發。當時,諾基亞表示之所以決 【詳細】

預研費用每年達20-30億美元 華為排名全球第五

IT之家11月4日消息 據央視新聞報道,11月4日,第七屆華為歐洲創新日在巴黎舉行。華為公司董事、戰略研究院院長徐文偉在會上透露,公司在全 【詳細】

提升在華5G業務競爭力 三星繼續投芯片面板電池

中國是全球第二大經濟體,也是全球最大的消費市場。三星歷來重視在中國的投資和合作交流,5G時代更是如此。日前,中國三星總裁黃得圭在接受 【詳細】

蘋果25億美元解決加利福尼亞州的住房危機被批?

IT之家11月5日消息 據9to5mac消息,蘋果今天宣布將啟動一項價值25億美元(約合人民幣175 6億元)的計劃,以解決加利福尼亞州的住房危機,蘋 【詳細】

三星手機敗走中國:關閉最后一家工廠 在華將啟動裁員

大敗局,又一家國外手機巨頭敗走中國,這一次是韓國的三星手機。三星在華將啟動裁員:手機業務是重災區11月4日下午消息,網傳三星中國將裁 【詳細】



科技新聞網版權
牛仔和外星人演员表 8173566565594381329847845816464082617738373501383338318965014047419721154025151265782927922697979797 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();