当前位置：首页> 我国证券行业APP网络安全调查研究

我国证券行业APP网络安全调查研究

时间：2023-12-30 19:40:45 下载该word文档

我国证券行业APP网络安全调查研究作者：袁方赵甜邱平文韦安垒来源：《网络空间安全》2020年第10期

摘要：近年来，伴随着移动互联网和移动设备的飞速发展，移动APP成为了人们生产生活中不可或缺的一部分。用户通过证券行业APP进行投资、理财和资产管理等活动愈加普遍，大部分证券机构也都提供了线上渠道开展业务。证券行业APP在给大众生活带来方便快捷的同时，也带来了一些安全隐患。文章通过对证券行业APP网络安全现状进行调查研究，发现其存在高危漏洞、恶意应用感染、第三方SDK良莠不齐、越界索权等安全威胁，针对这些安全威胁，文章从多方面提出相应的安全建议，以期规范证券行业APP市场健康发展。关键词：证券行业;安全漏洞;APP安全;越界索权中图分类号：F832.5文献标识码：A1引言随着移动互联网技术的蓬勃发展，移动终端设备在不断普及的同时，逐渐成为了人们生产生活中的必需品。证券行业紧抓时代脉搏，基于互联网技术的线上证券操作方式走进了人们的
生活，与传统证券线下业务办理方式相比，线上办理不受时间和空间的限制，随时随地都可以通过APP进行业务办理，给人们生活带来了极大的便捷。证券行业APP在给大众生活带来方便快捷的同时，也引发了一些安全隐患。如明文传送用户密码、将敏感数据写入日志文件、使用HTTP等不安全的通讯方式，严重地威胁着用户的个人隐私和财产安全。本文研究基于证券行业APP安全现状调研并进行统计分析，最后提出对策建议。2证券行业APP基本情况2.1概述证券行业APP是伴随着移动智能终端的普及迅速发展起来的一种线上业务办理工具，是为了方便用户办理和查询各项业务而开发的移动智能终端应用程序。近年来，随着移动终端的普及和智能化发展，带动了证券行业应用从PC端平移至移动端，用户使用证券行业APP作为载体进行证券操作，无形中也促进了证券行业APP的发展。证券行业APP通过分時图、分析图（诸如K线图、均线图、MACD图等）和行情表等帮助用户分析大盘走势、把握投资机会。证券行业APP可以忽略时间和空间的限制，以最快的速度将最新的行情推送至用户，同时也避免了线下模式中用户预约并必须去证券机构现场办理业务的情形，有利于用户及时把握投资机会。随着移动技术的发展，证券行业APP逐步向人性化方向发展，产生了诸如智能资产配置、智能实时账户和智能条件单等智能化应用服务。2.2背景在我国，证券行业APP的发展一直备受国家、各部委的支持和重点关注。《中华人民共和国国民经济和社会发展第十二个五年规划纲要》明确提出，要更好地发挥信用融资、证券、信托、理财、租赁、担保、网商银行等各类金融服务的资产配置和融资服务功能。《“十三五”国家信息化规划》指出加快信息化发展，促进资源互联集成、高效利用，提升产业数字化、智能化水平，对推动大众创业、万众创新，培育新动能，提高群众生活品质，意义重大。从2016年至今，国家不断加大对证券行业的规范整顿力度，相关政策不断涌现，从2018年开始，国家对证券行业的规范治理要求更加细化。由于国家对互联网行业的重视，线上线下规范监管趋势愈加明显，证券行业APP野蛮发展时代宣告结束，未来证券行业的监管政策将更加严谨迅速、精准高效。3证券行业APP安全现状近年来，伴随着移动互联网和移动设备的飞速发展，移动APP成为了人们生产生活中不可或缺的一部分。用户通过证券行业APP进行投资、理财和资产管理等活动愈加普遍，大部
分证券机构也都提供了线上渠道开展业务。然而，证券行业APP在给大众生活带来方便快捷的同时，也引发了一些安全隐患：一是由于移动APP网络相关法律法规不健全，标准规范不完善，给不法分子可乘之机;二是部分证券行业APP从业者安全意识淡薄，防护技术手段落后，开发流程不规范，更新修复不及时等，例如明文传送用户密码、多数APP将敏感数据写入日志文件、使用HTTP等不安全的通讯方式，容易遭受中间人攻击和代码安全问题，安装包容易被逆向工程;三是部分证券行业APP的隐私政策都存在言语模糊、更新缓慢、暗藏格式条款等弊病，从内容来看，描述企业权利以及可免除责任的居多，描述企业在保护用户个人信息时应尽义务的寥寥无几。4证券行业APP安全风险分析4.1恶意应用屡见不鲜本文研究发现，7.5%证券行业APP含有恶意程序，主要包括用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为，恶意程序类型分布如图1所示，81%的恶意程序存在流氓行为，这类恶意程序不向用户申请权限，直接弹出广告窗口;10.2%的恶意应用存在信息窃取行为，这类恶意应用会通过隐蔽手段在用户不知情或未授权的情况下窃取用户个人隐私，威胁用户的隐私安全;5.25%的恶意应用存在恶意传播行为，这类恶意应用会私自将各种恶意程序扩散到正常设备。恶意程序对用户的危害是多方面的，一旦用户受到恶意程序的威胁，用户的移动终端就会存在极大的安全隐患，对用户的生产和生活带来不良影响。4.2安全漏洞尤为突出本文研究发现，高危漏洞类型中，动态注册Receiver风险尤其严重，Janus漏洞风险紧随其后，第三为WebView远程代码执行漏洞，第四和第五为Java代码泄漏和日志数据泄露风险，WebView明文存储密码漏洞和RSA加密算法不安全使用风险排在第六和第七。高危漏洞类型分布如图2所示。4.3越界索权现象普遍本次研究挑选了10款综合排名相对比较靠前的证券行业APP，所有APP均存在越界索权现象，从获取高敏权限种类来看，存在证券行业APP最多获取18种高敏感权限，有证券行业APP最高获取14种中敏权限，低敏权限获取相对较少，基本在2～4种左右，存在获取低敏权限种类为0的证券行业APP。4.4第三方SDK质量堪忧目前，在APP开发过程中使用第三方SDK以节省开发时间和提高开发效率已经常态化。但是，对于引入的第三方SDK，APP无法完全获取这些SDK做了哪些操作，而从用户的角度
来看，SDK和APP是一体的，用户无法直接感觉到SDK的存在，但是如果引入的SDK存在问题，那么APP一定不安全。本文研究发现，有相当一部分SDK存在采集非必要用户信息的行为。一些SDK并没有在官方文档中说明使用某类权限或者收集某类数据，但是在实际监测中发现它会根据其嵌入的APP的具体权限，选择性收集用户个人信息，甚至收集的某些信息会超出官方文档所申明的范围;有的SDK更被发现有疑似后门的特征。证券行业APP嵌入第三方SDK主要偏好四类，分别为推送类、统计类、社交类和支付类，其中推送类占比最高，远超過其他类，达到了63.14%，统计类和社交类占比相近，分别为11.81%和10.93%，支付类为7.53%。嵌入SDK类型分布如图3所示。5证券行业APP安全建议在移动网络不断改变人们生活的时代背景下，证券行业APP的网络安全需要全社会齐心协力共同保障。一是国家相关部门应建立更完善的APP信息安全制度，并公开征求各方意见，建立健全用户信息保护机制，明确界定各种APP违法违规行为的具体认定标准及其应当承担的责任范围，为消费者个人信息安全提供最根本的制度保障。二是国家相关监管部门要加强监管意识，制定应用平台以及APP的安全监管标准，建立严格的行业准入和退出制度，加大执法处罚力度，督促应用平台企业落实网络安全主体责任，进而起到间接规范APP应用的作用，保障APP应用规范有序发展。三是APP开发者应加强网络安全技术创新发展，采取必要的技术手段保障应用的安全性以及信息数据的机密性和完整性，从技术层面减少和避免代码漏洞产生的风险，并且需要经过第三方检测机构多次信息安全检测，从中弥补安全漏洞进而消除安全隐患，避免第三方恶意SDK造成个人信息泄露的威胁。四是APP使用者下载手机软件时一定要通过手机正规应用市场下载，切勿直接点击不安全的网页弹窗安装;同时积极阅读隐私政策，明确个人信息收集规则，尽量减少APP权限的授予，避免非必要权限授权。6结束语随着证券行业APP的不断产生，遏制出现的安全问题亟需提上日程。本研究首先就证券行业APP的概述和背景进行分析，接着对证券行业APP的安全现状进行了研究，并对目前证