虚假贷款网站逾万，每款App收集20项个人信息，安全形势严峻

8月13日，国家互联网应急中心（以下简称“CNCERT”）发布《2019年上半年我国互联网网络安全态势》。报告显示，多个共享平台存在高危漏洞，网络诈骗横行，个人信息和重要数据被泄露，严峻形势仍需引起各方高度关注。

高危漏洞威胁网络安全

据此报告，2019 年上半年，CNCERT 通过自主捕获和厂商交换获得移动互联网恶意程序数量 103 万余个，同比减少 27.2%。排名前三的分别为资费消耗类、流氓行为类和恶意扣费类，占比分别为 35.7%、27.1%和 15.7%。

2019 年上半年，国家信息安全漏洞共享平台收录通用型安全漏洞 5,859 个，同比减少 24.4%，其中高危漏洞收录数量为 2,055 个（占 35.1%），同比减少21.2%。安全漏洞主要涵盖 Google、Microsoft、Adobe、Cisco、IBM 等厂商产品。

2019 年上半年，CNCERT 自主监测发现约 4.6 万个针对我国境内网站的仿冒页面。另有境内外约 1.4 万个 IP地址对我国境内约 2.6 万个网站植入后门，同比增长约 1.2倍。此外，还发现并协调处理我国境内遭篡改的网站有近 4 万个，其中被篡改的政府网站有 222 个。从境内被篡改网页的顶级域名分布来看，“.com”、“.net”和“.org”占比分列前三位。

2019 年上半年，CNCERT 监测发现恶意电子邮件数量超过 5600 万封，涉及恶意邮件附件 37 万余个，平均每个恶意电子邮件附件传播次数约 151 次。

金融诈骗借道移动App

近年来，新型网络诈骗手法层出不穷，随着移动互联网和普惠金融的大力发展，出现了大量以移动端为入口骗取用户个人隐私信息和账户资金的网络诈骗活动。据 CNCERT 抽样监测，2019 年上半年以来，我国以移动互联网为载体的虚假贷款 App 或网站达 1.5 万个，在此类虚假贷款 App 或网站上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息的用户数量超过 90 万。大量受害用户在诈骗平台支付了上万元的所谓“担保费”、“手续费”费用，经济利益受到实质损害。

2019 年上半年，CNCERT 监测发现互联网金融网站的高危漏洞 92 个，其中 SQL 注入漏洞 27 个（占比 29.3%）；其次是远程代码执行漏洞 20 个（占比 21.7%）和敏感信息泄漏漏洞 16 个（占比 17.4%）。CNCERT 对 105 款互联网金融 App 进行检测，发现安全漏洞 505 个，其中高危漏洞 239 个。这些安全漏洞可能威胁交易授权和数据保护，存在数据泄露风险。

个人隐私亟需保护

随着移动互联网技术的快速发展和应用，移动互联网终端应用已成为互联网用户上网的首要入口和互联网信息服务的主要形式。根据统计，我国境内应用商店数量已超过 200家，上架应用近 500 万款，下载总量超过万亿次，发展势头迅猛。与此同时，移动 App 强制授权、过度索权、超范围收集个人信息的现象大量存在，违法违规使用个人信息的问题十分突出，广大网民对此反应强烈。

CNCERT 监测分析发现，在目前下载量较大的千余款移动 App 中，每款应用平均申请25 项权限，其中申请了与业务无关的拨打电话权限的 App数量占比超过 30%；每款应用平均收集 20 项个人信息和设备信息，包括社交、出行、招聘、办公、影音等；大量 App存在探测其他 App 或读写用户设备文件等异常行为，对用户的个人信息安全造成潜在安全威胁。

报告称，2019 年 5 月至 12 月，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展全国范围的互联网网络安全专项整治工作，其中就包括App违法违规收集使用个人信息专项治理。专项整治工作将对未备案或备案信息不准确的网站进行清理，对攻击网站的违法犯罪行为进行严厉打击，对违法违规网站进行处罚和公开曝光。

报告还预计， 2019 年下半年，保护用户个人信息和重要数据安全、有效治理和防范网络攻击、全面研究新技术新业务应用带来的安全风险等方面仍然是需要重点关注的方向。

（文 | AI财经社 实习生 孙浪 编 | 梁夜）