2014上半年国内安卓银行应用隐私泄露和安全隐患研究报告

作者 tofreebuf

2014年是中国国际互联网成立至今的第20周年。移动通信技术的快速发展导致移动设备的数量呈指数级增长,2014年手机网民大概有5亿人。手机病毒的指数级增长无疑是移动安全的爆发点,具体表现在移动支付安全是移动互联网新的挑战。新的移动应用和新功能,如网上银行、游戏、和手机收费等,为用户带来了私人隐私泄露等安全风险。

目前大多数银行使用自己开发的移动应用软件来运行移动金融业务来为客户提供移动金融服务。不幸的是,由于缺少规范的安全监管标准和流程,许多银行不能对其应用软件充分执行必要的安全性测试,结果导致许多银行移动应用可能会在不知不觉的情况下将重要的数据信息暴露给黑客,将使用应用的银行客户置于风险之中。

为了更好地对国内银行的移动应用的安全现状做全方面的调研和评估,移动互联网安全公司VisualThreat在2014年上半年度收集了国内近80家银行开发的移动银行应用,通过为每一款手机应用生成详细的风险分析报告和计算对应的安全认证分数(MobileThreatCert),对全部应用进行了安全性的量化评估,最终基于结果得出了银行应用的安全排名。报告的安全评估内容主要分为用户隐私泄漏和安全隐患两个方面。这份报告是就我们所知的到目前为止针对银行安卓应用覆盖面最广的研究报告之一。

报告摘要:

每10个安卓银行应用中有6个具有中度到高度隐私泄露风险

从个人用户而言,隐私信息泄露是用户最关心的。在收集的近80家国内银行的手机银行应用中,VisualThreat发现超过65%的应用存在中度到高度隐私泄漏问题。这个数字与我们之前的调研结果吻合:大部分安卓应用商店只有有限的或甚至没有安全验证,导致应用商店里的大量流行的安卓应用都存在有潜在威胁的风险。

隐私泄露风险评估矩阵

研究人员定义了5个危险行为类型:数据泄漏、短信活动、文件操作、监视和网络活动。在此基础上,为每一个移动应用生成一份详细的应用隐私泄露风险分析报告,并计算出对应MobileThreatCert值,用1到100之间的数字去指示应用程序的安全指数。

安全隐患风险评估矩阵

安全隐患包括3个方面:数据存储安全、功能安全和代码安全。之所以选择这三点,因为它们是移动应用安全隐患检测最基本的方面。这几点的安全验证代表了移动应用软件安全开发的水平。这些方面做不好,其他更高级的保护措施也无从谈起。我们后续的报告里将包括更多的安全隐患评测点。

隐私泄露:排名最前和垫底的银行

根据应用中数据泄露行为点的多少和严重性程度以及安全认证分数,我们评出了2014年上半年度隐私泄露最少和最严重的银行应用,标注为“最靠前和垫底的银行排名”。这个排名信息可以帮助用户在选择和使用银行移动应用时作为参考

对用户的隐私泄露最少的银行,暨AppSecurity Certificate金牌认证得主有两家,分别是香港的恒生银行和澳门的永亨银行。第二梯队的银牌得主是哈尔滨银行。铜牌获得者是齐鲁银行。令人遗憾的是这些银行里面没有一家是全国性的银行。

隐私泄露的多少不能直接代表银行应用安全性的开发水平。事实上很多银行为了能充分获得其应用使用者的个人隐私信息和手机信息,主动地在应用开发代码中收集过多的用户个人信息,并把这些信息提交到银行的云服务数据库去,建立用户的档案,方便以后的服务推广和广告精准投放。香港和澳门的金融管制政策比内地更严厉一些,所以它们位居榜首也是情理之中。

排名垫底的银行也有三个梯队,分别是成都农商银行,用户隐私泄露风险最为严重。其次是贵阳银行,第三梯队有三家,分别是广发银行、中国民生银行和泉州银行。

研究人员归纳出两点来解释隐私泄露严重的原因。

第一,应用开发人员的安全防范意识和水平;
第二,银行对用户个人信息非常感兴趣,采用主动收集的方式。

一个有趣的现象是,除了民生银行,其他银行都是属于南方系。2013年9月,乌云漏洞报告平台曾公开了民生银行安卓应用的漏洞,称该漏洞可导致民生银行Android客户端敏感信息泄露。

安全隐患:排名最前和垫底的银行

根据应用中最基本安全隐患的多少和严重性程度,我们评出了2014年上半年度安全隐患最少和最多的银行及其应用,标注为“最靠前和垫底的银行排名”

安全隐患最少的App Security Certificate金牌得主是上海银行(上海不愧为中国金融业最发达的地区)。第二梯队比较多,有六家,分别是中信银行(全国性银行),天津银行,汉口银行,澳门永亨银行,成都农商银行和广东南粤银行。铜牌获得者有四家,它们是华夏银行,广发银行,昆仑银行和中国农业银行。令人欣慰的是这些银行里面包括了农行,中信等规模较大的全国性银行。

广发银行和成都农商银行虽然在前一轮的隐私泄露保护做的不理想,但是在这轮的安全隐患方面还是相当给力的。澳门永亨银行继续保持其安全典范,这轮又再次跻身进银牌阵列。汉口银行,广东南粤银行和昆仑银行做为小规模的地区性银行在安全方面非常加分。中国农行在全国性银行里素有稳健的风格,在安全方面做的也毫不逊色。

排名垫底的银行有三个,分别是民生银行,杭州银行和浙江稠州商业银行。浙江省区域银行占了2个名额。下面这张图是手机银行安全隐患分数分布图,前2个都民生银行的手机应用。

结束语

移动时代,应用为王!平台从浏览器转变到独立运行的移动应用; 应用将代替网站成为移动互联网的入口。手机病毒的爆发刚刚开始,今后几年我们将会看到大量的手机病毒自动制造工具,高级变异病毒的出现。同时大量企业由于IT架构的改变而将服务部署到手机上,加上企业数据和用户私人数据的混杂和手机的随身携带性,使得手机安全战场更加硝烟弥漫。我们希望读者除了借助外部安全厂商的工具进行保护之外,自身还要养成对个人数据保护的敏感性,内外兼修,才能达到良好的保护效果。

声明

本报告采用公开、合法的信息,由VisualThreat信息安全司的研究人员运用相应的研究方法,对所研究的对象做出的安全分析评判。本报告代表VisualThreat观点,仅供读者参考,并不构成任何建议。相关银行或者用户须根据情况自行判断,VisualThreat对银行品牌影响和用户的使用行为不负任何责任。VisualThreat公司力求信息的完整和准确,但是并不保证信息的完整性和准确性. 报告中提供的数据、观点、文字等信息不构成任何法律证据不代表官方机构意见。如果对报告数据有异议,可以联系VisualThreat公司。如果报告中的研究对象发生变化,我们将不另行通知。未获得VisualThreat公司的书面授权,任何人不得对本报告进行任何形式的进行有悖原意的删节和修改。如引用、刊发,需注明出处为“VisualThreat信息安全公司”。

查看完整报告,请访问下载

http://www.visualthreat.com/images/blog/20140519/bank_security_report.pdf

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-05-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏灯塔大数据

灯塔原创|程序猿都不敢用?共享充电宝是否有的救?

相信思聪宝宝的立贴为证:“共享充电宝要是能成我吃翔”大家都有耳闻,王思聪为什么这么笃定地怒怼共享充电宝?下面就跟随小编看看共享充电宝怎么个“火出天际”,能在短...

35880
来自专栏钱塘大数据

【图说】工业物联网:新经济革命的引擎

导读:工业物联网是物联网产业中一个重要的分支。工业与物联网技术的结合虽然目前并不为大众熟知,但它将会对全球工业带来颠覆性的改变。 工业物联网将在能源、交通运输(...

29150
来自专栏灯塔大数据

资讯 | 两分钟体验马云无人超市,杭州又首先跨入新零售时代

马云,又放大招了!无人超市正式迎客,未来产物又成真了,这一次将带来什么? 以下视频带你两分钟体验马云无人超市 ? 别人的无人超市,可能只是蹭个热点,但马云的无人...

34780
来自专栏BestSDK

【一周简报】听云APM助力e代驾引领代驾新模式

image.png 智选SDK一周资讯大事记,将会为您呈现过去一周最受欢迎的SDK资讯、投融资、企业活动、人物访谈和创业故事等信息。让您在最短的时间内了解最火爆...

263100
来自专栏知晓程序

新公众号将没有留言功能 / 微信支付两年打败了支付宝

微信团队为进一步规范公众平台生态环境,后续新注册的账号将没有留言功能,「最近三个月内注册,但尚未使用留言功能的账号将被收回留言权限。」

13620
来自专栏镁客网

拔刺 | 如果华为全面进入PC行业会怎样?

从技术上和资金上华为都有资格并且有这个能力全面进军PC市场并且可以在之后站稳脚跟。

9720
来自专栏数据的力量

大部分O2O都违反了互联网经济特性?

9810
来自专栏数据猿

“愚蠢至极”的支付宝被网信办约谈 大数据时代该如何保障我们的信息安全?

【数据猿导读】 2018年1月3日,支付宝2017年度账单如期而至,并以迅雷不及掩耳之势刷屏朋友圈。“时间总是偷偷流逝,打开账单,这一年是不是过得不太一样……”...

27990
来自专栏人称T客

创业途中多艰难,资金短缺有方法 | 创业者说

T客汇官网:tikehui.com 译者 | 卿云 许多初创公司往往容易陷入资金短缺的困境,此时一着不慎容易满盘皆输,本文告诉你公司「缺钱」的时候该怎么办。 S...

30760
来自专栏FreeBuf

盘点2017年的十大安全挑战

转眼间离2017年的结束只有短短几个月了,而2017的上半年对于网络安全专家来说并非白驹过隙。 ? 迄今为止,今年最出名的大新闻当数Shadow Brokers...

299110

扫码关注云+社区

领取腾讯云代金券