移动金融存在五大风险，安全防护与时俱进

目前金融成为网络安全攻击主要对象，占比达到30%。移动金融安全事件频发，2018年新增恶意APP数量新增283万余个，最主要的是恶意扣费、短信或者违规采集个人信息等问题。

11月1日，2019（第二届）中国金融科技产业峰会金融业网络安全论坛在北京举行。中国信息通信研究发布的《移动金融应用安全白皮书（2019）》认为，移动金融存在五大风险，包括以数据泄露为代表的高危漏洞风险、以流氓行为为代表的恶意程序风险、安全加固不足带来的风险、违规索权带来的隐私泄露风险，以及使用第三方SDK引入的安全风险等危害巨大，应该引起金融机构高度重视。

参加论坛并做主题演讲的爱加密移动安全研究院副院长魏超告诉中国软件网，从国家监管来说，金融企业要保证自合规，必须做到首先保证企业自身的安全；其次，保证银行向外输出的能力，包括SDK或者第三方SDK的合规性，减少由此给企业带来风险；第三，保证互联网应用生态的合规，响应国家安全政策，主动提升自身安全能力，保障人民的财产安全。

1.移动金融应用安全风险不容乐观

魏超说，移动App违规违规收集使用个人信息非常普遍。用户往往在不知情的情况下，不声不响的被窃取了个人敏感信息，并被不法分子利用进行非法交易、金融诈骗等。

许多App普遍存在越界索权现象，比如视频软件要求读取运动数据、资讯类App要求开启相机和麦克风录音权限等。手机App使用权限被滥用、隐私条款内容不达标有可能造成用户隐私泄露，进而引发个人信息非法买卖、电信网络诈骗等互联网安全事件。

SDK市场缺乏监管，安全性很难保证。App运营者为了拓宽自身的业务范围，提高自身的技术能力；或为了节约开发成本、提高工作效率，通常都会使用多种第三方的SDK。小众化的第三方SDK开发往往侧重于功能性的完善，而在安全性方面投入较少，从而导致APP使用第三方SDK时会发生许多安全问题。

目前，有超过60%的SDK含有多种漏洞，且由于SDK被广泛使用到大量的APP中，造成漏洞的影响范围非常大。SDK普遍存在隐瞒收集用户个人信息的行为。APP对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围，利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息，并向远程服务器甚至境外服务器进行回传。

工信院发布的白皮书认为，金融App安全风险主要包括：

以数据泄露为代表的高危漏洞风险，有70%金融行业App共存在62.7万条高危漏洞记录。

以流氓行为为代表的恶意程序风险，共有8217款金融行业App被检测出恶意程序，感染率为6.16%。

使用第三方SDK引入的安全风险。超过60%第三方SDK存在安全漏洞，容易被植入恶意程序，同时存在隐蔽收集用户个人信息等相关安全问题。

违规索权带来的隐私安全风险，缺乏单独的隐私政策，涉嫌阻碍用户删除个人信息，没有提供引入第三方SDK的政策，存在泄露用户隐私的风险。

安全加固不足带来的安全风险。加固意识薄弱，仅有17%的行业APP进行了加固；加固厂商集中，主要选择360、腾讯、爱加密等12家安全厂商进行了安全加固；借贷类APP加固比例偏低。

2.构建事前、事中、事后协同的移动金融安全体系

魏超说，国家出台了相关政策和法规，对网络安全、个人信息安全保护进行了一系列的管控和治理。包括《网络安全法》、《等级保护2.0》、《个人信息安全规范》、净网行动以及国家四部委《关于开展App违法违规收集使用个人信息专项治理的公告》等，都说明国家十分重视网络安全，并加大力度持续进行政策管控、监管治理。这些都为移动金融安全提供更高的要求。

爱加密移动App防护体系建设包括：事前检测能力、事中防护响应能力、安全加固、事后智能监管等几个环节。爱加密是国内首家提出来对于APP个人信息安全检测、隐私条款合规性检测、权限检测、静态检测、动态分析等，得到监管机构和CCRC相关认可，提供个人信息安全检测的服务。

爱加密推出个人信息安全检测平台，该平台针对个人信息安全合规问题，对移动应用提供多维度的验证，并出具专业的个人信息安全检测报告。

爱加密的第三方SDK的检测，更趋向于提供两点技术能力，一个是个人隐私，一个是恶意行为，包括本身SDK未说明或者未声明的功能可能潜藏着数据或者动态信息，包括病毒、超范围采集这些全新的检测，也会提供。

爱加密还有移动应用大数据平台和InfoBeat威胁态势感知平台，助力公安部、监管机构、企业客户等落实、保障App信息内容安全及合法合规化。

3.安全防护向IOT演进

那么，爱加密对移动App安全防护未来发展方向在哪些方面?

魏超说，首先爱加密会根据移动App业务形态的发展，调整目标。如果未来金融机构整合不同的App，推出超级App，那么，爱加密会调整策略，满足这一发展需求。

第二，爱加密移动App安全防护会向数据防护发展，保护用户数据的安全。

第三，爱加密会推出移动App认证管理，以更多的措施保证机构和用户的安全。

第四，持续关注我国移动应用安全问题，未来，爱加密将会把移动应用安全大数据扩展为对移动互联网、物联网IOT和工业互联网的泛在应用安全大数据的获取与分析，构建数据驱动的自主学习自助进化的安全防护生态体系。

在智能手机全面普及的当下，App关系着大众工作、生活的方方面面。很多App的强制授权、过度索权、超范围收集个人信息的现象不少，非法交易、泄露个人信息等违规行为不断发生。未来移动App安全监管趋强，个人防护意识也应该强化。

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!