2019中國金融科技產(chǎn)業(yè)峰會(huì)丨中國信通院姜鼎：解讀《移動(dòng)金融應(yīng)用安全白皮書（2019年）》

2019(第二屆)中國金融科技產(chǎn)業(yè)峰會(huì)于10月31日11月1日在北京國際會(huì)議中心隆重召開。11月1日下午舉行的金融業(yè)網(wǎng)絡(luò)信息安全分論壇上，中國信息通信研究院安全研究所高級研究員姜鼎帶來了《移動(dòng)金融應(yīng)用安全白皮書(2019年)》的解讀。

我的代表報(bào)告隊(duì)很榮幸解讀了《移動(dòng)金融應(yīng)用安全白皮書(2019年)》。

白皮書共分為

一、移動(dòng)金融應(yīng)用的安全背景

背景1:移動(dòng)互聯(lián)網(wǎng)迅速發(fā)展。截至2019年6月，中國手機(jī)網(wǎng)民規(guī)模達(dá)到8.47億人，網(wǎng)民使用手機(jī)網(wǎng)絡(luò)比例達(dá)到99%。我國基于安卓系統(tǒng)的移動(dòng)應(yīng)用超過286萬，其中移動(dòng)金融應(yīng)用達(dá)到13.3萬。隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，應(yīng)用安全需要加強(qiáng)。從右下角圖可以看出，移動(dòng)互聯(lián)網(wǎng)惡意程序的樣品數(shù)量呈逐年增加的趨勢。

背景2：網(wǎng)絡(luò)安全已經(jīng)上升到國家安全戰(zhàn)略層面。2018年以來美國相繼發(fā)布多份網(wǎng)絡(luò)安全政策文件，國家安全局成立網(wǎng)絡(luò)安全理事會(huì)，歐盟2018年5月正式實(shí)施了通用數(shù)據(jù)保護(hù)條例。中國習(xí)近平總書記指出，沒有網(wǎng)絡(luò)安全就沒有國家安全，網(wǎng)絡(luò)安全法等法律法規(guī)和戰(zhàn)略計(jì)劃相繼發(fā)表。另外，澳大利亞、新加坡等其他國家發(fā)表了適用于當(dāng)?shù)氐木W(wǎng)絡(luò)安全戰(zhàn)略和立法。

背景3:金融領(lǐng)域成為網(wǎng)絡(luò)安全的重大災(zāi)區(qū)。左圖可以看出33%的網(wǎng)絡(luò)攻擊發(fā)生在金融領(lǐng)域，金融領(lǐng)域是網(wǎng)絡(luò)攻擊最為集中的一個(gè)領(lǐng)域。右圖是網(wǎng)絡(luò)攻擊在金融領(lǐng)域造成重大經(jīng)濟(jì)損失的幾個(gè)典型案例。在此背景下，移動(dòng)金融的應(yīng)用安全受到政策和監(jiān)督的重視，制定了一系列重磅政策法規(guī)和標(biāo)準(zhǔn)規(guī)范。其中2019年1月，四部門共同成立了APP特別管理工作組，在全國組織了特別管理活動(dòng)。

二、移動(dòng)金融應(yīng)用程序的分布狀況

移動(dòng)金融應(yīng)用程序從分布來看有三個(gè)特點(diǎn):

1、地區(qū)分布不均勻。移動(dòng)金融APP覆蓋全國34個(gè)省級行政區(qū)，廣東、湖北、北京排名前三，西藏、青海排名靠后。從金融業(yè)分類來看，47%的銀行類APP集中在廣東、北京、湖北、上海四個(gè)省，69%的證券類APP集中在廣東、北京、上海、湖北、浙江五個(gè)省，53%的保險(xiǎn)類APP集中在廣東、北京兩個(gè)省。也就是說，APP主要在經(jīng)濟(jì)發(fā)達(dá)的地區(qū)。

2、應(yīng)用市場集中度高。我們共研究APP來自232個(gè)應(yīng)用市場，其中59%的PP集中在前10個(gè)應(yīng)用市場，集中度非常高。

3、貸款類APP占一半江山。消費(fèi)金融類APP和P2P類APP占我們研究總數(shù)的48%。

三、移動(dòng)金融應(yīng)用安全風(fēng)險(xiǎn)分析

這是白皮書的重要內(nèi)容，我在這里重點(diǎn)解讀。

我們根據(jù)232個(gè)安卓應(yīng)用市場收錄的移動(dòng)行業(yè)金融APP進(jìn)行研究分為5種安全風(fēng)險(xiǎn):

1、以數(shù)據(jù)泄漏為代表的高風(fēng)險(xiǎn)漏洞風(fēng)險(xiǎn)。我們的研究表明，70%的金融業(yè)APP有62.7萬個(gè)高風(fēng)險(xiǎn)脆弱性記錄，平均每個(gè)APP有6.7個(gè)高風(fēng)險(xiǎn)脆弱性，攻擊者可以利用這些脆弱性竊取用戶數(shù)據(jù)進(jìn)行APP仿制，嵌入惡意程序和攻擊程序等。

2、以流氓行為為代表的惡意程序風(fēng)險(xiǎn)。從地域分布來看，被惡意程序干擾的APP分布在香港以外的33個(gè)省級行政區(qū)，其中江蘇、廣東、北京排名前三，被惡意程序感染的APP數(shù)量的80%。共有8217款金融行業(yè)APP被查出惡意程序，感染率為6.16%。

3.使用第三方SDK引進(jìn)的安全風(fēng)險(xiǎn)。超過60%的第三方SDK存在安全漏洞，容易嵌入惡意程序，同時(shí)存在隱藏收集用戶個(gè)人信息等安全問題。據(jù)統(tǒng)計(jì)，20%的金融APP嵌入第三方SDK，從SDK分類來看，全行業(yè)APP嵌入的SDK主要集中在框架類SDK上，金融類APP以推進(jìn)類SDK為主，這也是值得關(guān)注的安全風(fēng)險(xiǎn)。

4、違反索賠權(quán)帶來的隱私安全風(fēng)險(xiǎn)。我們發(fā)現(xiàn)這12個(gè)應(yīng)用程序有不同程度的超范圍要求用戶權(quán)限，其中9個(gè)以上的應(yīng)用程序共同要求權(quán)限包括左圖25種權(quán)限，包括8種高敏度權(quán)限、7種中敏度權(quán)限和10種低敏度權(quán)限。另外，APP有違法違規(guī)的嫌疑，我選擇其中三個(gè)典型的問題，介紹

第一，個(gè)別的隱私政策不足。例如，這個(gè)貸款類APP的隱私政策是用戶注冊服務(wù)協(xié)議的一部分，違反了隱私政策需要獨(dú)立寫文章的規(guī)定。

第二，涉嫌阻礙用戶刪除個(gè)人信息。這款炒股類APP隱私政策里提出滿足以下情形才可以提出刪除APP，違反APP專項(xiàng)治理小組發(fā)布自評估報(bào)告里要求的支持用戶刪除個(gè)人信信息的規(guī)定。

第三，不提供引入第三方SDK的政策。該金融類APP在其隱私政策中提出訪問的第三方SDK服務(wù)有隱私政策，不受隱私政策的制約，不承擔(dān)法律責(zé)任，有泄露用戶隱私的風(fēng)險(xiǎn)。

5、缺乏安全加固帶來的安全風(fēng)險(xiǎn)。有三個(gè)特點(diǎn):一是強(qiáng)化意識薄弱，只有17%的行業(yè)APP進(jìn)行強(qiáng)化，二是強(qiáng)化廠商集中，主要選擇360、騰訊、愛加密等12家安全廠商進(jìn)行安全強(qiáng)化，其中360和騰訊達(dá)到93%，三是貸款類APP強(qiáng)化率低，貸款類APP占所有金融類APP的約48%

四、移動(dòng)金融應(yīng)用的安全創(chuàng)新構(gòu)想

我們提出了以

1、以移動(dòng)金融應(yīng)用安全為中心的整體設(shè)計(jì)，建議APP與系統(tǒng)合作防御作為安全戰(zhàn)略的重要組成部分，保障APP業(yè)務(wù)的全生命周期安全。

2.建設(shè)符合監(jiān)督發(fā)展的合規(guī)檢查能力。移動(dòng)金融面臨的監(jiān)督形勢逐漸嚴(yán)峻，企業(yè)應(yīng)具備個(gè)人信息安全檢測能力和惡意行為檢測能力，履行網(wǎng)絡(luò)安全保護(hù)責(zé)任和義務(wù)，保護(hù)公民隱私信息。

3、全生命周期的移動(dòng)金融應(yīng)用安全防護(hù)策略。建立事前預(yù)防、事中決策、事后分析的深度防護(hù)。

4、積極風(fēng)險(xiǎn)感知取代被動(dòng)影響的防御思維。

五、移動(dòng)金融應(yīng)用安全前景展望

1、安全政策頻出。移動(dòng)金融應(yīng)用的安全需要與基礎(chǔ)設(shè)施的安全并行，應(yīng)對更多未知的威脅挑戰(zhàn)。

2、合規(guī)升級合法。數(shù)據(jù)安全監(jiān)管加強(qiáng)，移動(dòng)金融APP如何規(guī)避終端數(shù)據(jù)泄露風(fēng)險(xiǎn)，保障用戶金融信息安全成為安全市場熱點(diǎn)。

3、感知技術(shù)升級。隨著網(wǎng)絡(luò)形勢監(jiān)測、大數(shù)據(jù)分析技術(shù)的廣泛應(yīng)用，以感知為中心的自主防御結(jié)構(gòu)成為移動(dòng)金融應(yīng)用安全管理的業(yè)務(wù)新模式。

以上就是我對白皮書的簡單解讀，感謝大家！