近年来,依托云计算、大数据、人工智能、区块链等先进的计算机技术,金融服务也趋于多样化、便利化、智能化。随着金融类APP日渐成为金融产品的重要支撑手段,攻击者也在不断丰富其攻击目标和攻击手段,以图提升自身的攻击变现能力。
据统计,2017年,金融行业移动应用总计达346,629款,金融类APP目前面临的突出问题主要有银行木马、支付安全、敏感信息泄露、身份认证绕过、仿冒问题等。
基于通付盾移动安全实验室全渠道应用监测平台的大数据分析,通付盾移动安全实验室全面梳理分析2017年度金融行业APP安全态势,还原金融行业应用安全本貌。
(一)金融行业应用安全风险分析
2017年,金融行业应用总量达346,629款(银行、证券及保险类应用32,647款,第三方支付类应用总计11,859款,理财工具类应用总计302,123个),其中恶意应用共计373款,仿冒应用共计717款,高危应用共计43,435款。
以下将从理财工具、证券、银行等细分领域详细分析移动金融行业恶意、高危及仿冒应用安全风险状况。
1. 金融行业恶意应用分析
金融行业APP恶意行为分布当中,隐私窃取类恶意应用(占比41.32%)占比最高,其次是资费消耗(28.01%)及流氓行为(9.24%)。
图1金融行业恶意应用行为分布
2017年,不少恶意应用越界获取用户隐私权限,越界读取位置信息、通话记录、访问联系人等用户核心隐私权限。一些理财工具类应用(包括P2P理财类APP),通过读取通讯录信息向借债人的家人及好友催讨债务,侵犯用户隐私信息;用户的短信内容常常包含银行卡余额、改密验证码等敏感信息,部分恶意应用通过读取用户短信内容,窃取用户账号密码信息。
此外,金融行业理财工具移动应用中存在大量抢红包插件类应用、作弊器应用,这些插件类程序安全风险极高。用户在安装此类插件过程中,很有可能在后台静默下载安装垃圾应用,从而造成资费消耗。同时一些插件携带恶意代码,向用户推送广告信息;部分插件通过诱导用户获取不相关的用户权限、盗取用户隐私信息,造成用户信息泄露。
图2部分红包插件类应用示意图
2. 金融行业高危应用分析
安全性是金融类移动应用开发优先考虑的因素之一,因此,在安全漏洞方面,金融类移动应用的高危应用占比情况总体优其他行业,但其中隐藏的安全风险依然不容小觑。银行、证券、保险、理财工具及第三方支付这五大金融领域中,证券行业移动应用脆弱性最高,行业内高危应用占比达22.87%,其次是保险(20.56%)和第三方支付(12.99%)。
图3金融行业高危应用占比分布
2017年2月27日,某金融信息服务有限公司发现其旗下一款APP软件被多人利用黑客手段攻击,半天时间内即被非法提现人民币1056万元,经查,缘由是一名嫌疑人利用APP平台漏洞,使用黑客手段篡改APP充值过程中的请求金额数据,导致平台入账金额异常,并迅速进行提现操作实施犯罪。
总体而言,金融行业移动应用存在安全漏洞数量较多。中高危漏洞占比达10.37%(高危漏洞占比2.01%,中危漏洞占比7.36%),安全保护意识强的金融机构会对自身移动应用进行加固保护,但安全意识薄弱、安全预算缺乏的金融机构在移动应用开发过程中注重移动应用开发速度过程中,对移动应用开发规范及安全性忽视,致使移动应用存在明显较多的安全漏洞,用户资金财产安全难以得到有效保障。
图4移动金融高危应用安全漏洞等级分布
高危漏洞类型方面,目前共监测到17种不同类型高危漏洞,其中未移除有风险的WebView系统隐藏接口占比最高,达21.08%;WebView远程代码执行安全漏洞(占比20.16%)位列第二;WebView组件忽略SSL证书验证错误漏洞(占比16.79%)位列第三。
图5移动金融高危应用高危漏洞类型分布
3. 金融行业仿冒应用分析
2017年,金融行业仿冒应用总计717款,占金融行业总应用0.47%。这些仿冒应用大都为了窃取用户银行账号、密码、身份证等重要信息。如:一些仿冒APP伪装成银行登录界面,诱导用户输入银行帐号密码、身份证等重要信息,用户一旦提交,导致隐私信息泄露;仿冒APP安装后,病毒会长时间潜伏在手机里,在后台默认安装垃圾应用,甚至被不法分子远程控制。
图6银行业仿冒与正版应用分布
典型仿冒应用案例分析
通过通付盾全渠道应用监测平台,发现存在一款“蚂蚁聚宝”的仿冒应用。此款应用除了图标、名称与正版相同外,其他完全与蚂蚁金融无关。由于仿冒应用图标与正版应用相似度极高,用户难以区分。
由下图对比可见,仿冒应用图标边缘粗糙、呈锯齿状。而正版的图标整体更为柔和、边缘圆滑清晰。
图7 仿冒/正版应用Apk图标分析
正版应用测试运行界面为如下图所示的用户提示登录界面。而该款应用经测试运行发现,捆绑了腾讯应用宝、京东金融等广告推广,诱导用户下载安装。
图8 蚂蚁聚宝APP正版与仿冒运行界面
Apk签名分析
正版Apk的包名为com.antfortune.wealth,而此款应用的包名为tv.rgmopjji.hrjvks.pqvhopjr。两款的Apk签名如下图所示也存在较大出入。
图9 正版应用APK签名
图10 仿冒应用APK签名
Apk代码分析
两款应用代码不存在任何交集,正版含有多有alipay相关的包文件,而仿版仅有个经过混淆的包文件,用户权限等都不相同。
图11 正版应用包文件截图
图12 仿冒应用包文件截图
(二) 金融APP越界获取用户隐私权限状况
2017年,移动应用越界获取用户隐私权限现象严重,尤其越界读取位置信息现象普遍,由于互联网金融的普及,越来越多的用户习惯于在手机上通过APP进行理财投资。检测发现,投资理财类APP越界获取“读取通话记录”、“读取位置信息、“打开蓝牙开关”和“访问联系人”权限较多,分别有7.7%、5.7%、4.2%和4.1%的APP没有相关功能而获取了以上四种权限。
图7投资理财类APP越界获取不同隐私权限比例
由于投资理财类APP与身份信息、银行卡号、支付密码等重要个人隐私相关,如APP越界获取通话记录及联系人,可能导致用户数据泄露,建议用户注意此类APP的越界权限。
(三) 金融APP隐私政策合规安全分析
《网络安全法》自生效以来,对企业的网络产品、安全服务、跨境数据传输、个人信息保护等方面提出了更高的要求。企业在收集消费者个人信息之前应当得到消费者的授权或同意。取得消费者授权或同意的方式可以是在用户协议中植入消费者授权或同意企业收集、使用其个人信息的条款,也可以是通过单独的隐私协议或说明等其它书面方式取得消费者授权或同意。因此,目前绝大多数APP都有隐私政策条款。
以《花呗用户服务合同》为例。在手机上使用支付宝APP开通花呗时,花呗会提示用户“点击上述按钮同意《花呗用户服务合同》《芝麻服务协议》及授权条款”。如果用户点击《花呗用户服务合同》《芝麻服务协议》可以进入合同页面,其中就有关于“信息收集、使用、共享”条款。
图8支付宝APP隐私政策条款截图
总体来看,大部分移动应用的隐私政策都存在言语模糊、更新缓慢、暗藏格式条款等弊病;从内容来看,描述企业权利以及可免除责任的居多,描述企业在保护用户个人信息时应尽义务的寥寥无几。多数移动应用未在隐私政策中说明,产品和服务停止运营时处理用户个人信息的方式;未明确界定“个人信息”“非个人信息”“个人敏感信息”等定义;未提及给予用户退订或拒绝的权利,并提供有效途径及操作指引等。
《信息安全技术个人信息安全规范》国家标准规定,互联网产品收集用户个人信息应符合最小化原则,但一些金融类应用甚至要求用户授权读取短信、访问相册。数据显示,移动金融交互类应用中,47.5%的移动应用向系统申请了读取短信的权限,而用户的短信内容通常包含银行卡余额、改密验证码等敏感信息,一旦泄露后果严重。
收集地理位置信息也是移动金融类应用的常见“套路”,但事实上借贷类、支付类亦或理财类、实体银行的线上产品,都没有功能或服务必须依靠收集地理位置信息才能实现。
来源 | 金融科技安全
作者 | 通付盾移动安全实验室
免责声明:转载内容仅供读者参考。如您认为本公众号的内容对您的知识产权造成了侵权,请立即告知,我们将在第一时间核实并处理。