目前大多数银行使用自己开发的移动应用软件来运行移动金融业务来为客户提供移动金融服务。不幸的是,由于缺少规范的安全监管标准和流程,许多银行不能对其应用软件充分执行必要的安全性测试,结果导致许多银行移动应用可能会在不知不觉的情况下将重要的数据信息暴露给黑客,将使用应用的银行客户置于风险之中。
为了更好地对国内银行的移动应用的安全现状做全方面的调研和评估,移动互联网安全公司VisualThreat在2014年上半年度收集了国内近80家银行开发的移动银行应用,通过为每一款手机应用生成详细的风险分析报告和计算对应的安全认证分数(MobileThreatCert),对全部应用进行了安全性的量化评估,最终基于结果得出了银行应用的安全排名。报告的安全评估内容主要分为用户隐私泄漏和安全隐患两个方面。这份报告是就我们所知的到目前为止针对银行安卓应用覆盖面最广的研究报告之一。
报告摘要:
每10个安卓银行应用中有6个具有中度到高度隐私泄露风险
从个人用户而言,隐私信息泄露是用户最关心的。在收集的近80家国内银行的手机银行应用中,VisualThreat发现超过65%的应用存在中度到高度隐私泄漏问题。这个数字与我们之前的调研结果吻合:大部分安卓应用商店只有有限的或甚至没有安全验证,导致应用商店里的大量流行的安卓应用都存在有潜在威胁的风险。
隐私泄露风险评估矩阵
研究人员定义了5个危险行为类型:数据泄漏、短信活动、文件操作、监视和网络活动。在此基础上,为每一个移动应用生成一份详细的应用隐私泄露风险分析报告,并计算出对应MobileThreatCert值,用1到100之间的数字去指示应用程序的安全指数。
安全隐患风险评估矩阵
安全隐患包括3个方面:数据存储安全、功能安全和代码安全。之所以选择这三点,因为它们是移动应用安全隐患检测最基本的方面。这几点的安全验证代表了移动应用软件安全开发的水平。这些方面做不好,其他更高级的保护措施也无从谈起。我们后续的报告里将包括更多的安全隐患评测点。
隐私泄露:排名最前和垫底的银行
根据应用中数据泄露行为点的多少和严重性程度以及安全认证分数,我们评出了2014年上半年度隐私泄露最少和最严重的银行应用,标注为“最靠前和垫底的银行排名”。这个排名信息可以帮助用户在选择和使用银行移动应用时作为参考
对用户的隐私泄露最少的银行,暨AppSecurITy Certificate金牌认证得主有两家,分别是香港的恒生银行和澳门的永亨银行。第二梯队的银牌得主是哈尔滨银行。铜牌获得者是齐鲁银行。令人遗憾的是这些银行里面没有一家是全国性的银行。
隐私泄露的多少不能直接代表银行应用安全性的开发水平。事实上很多银行为了能充分获得其应用使用者的个人隐私信息和手机信息,主动地在应用开发代码中收集过多的用户个人信息,并把这些信息提交到银行的云服务数据库去,建立用户的档案,方便以后的服务推广和广告精准投放。香港和澳门的金融管制政策比内地更严厉一些,所以它们位居榜首也是情理之中。
排名垫底的银行也有三个梯队,分别是成都农商银行,用户隐私泄露风险最为严重。其次是贵阳银行,第三梯队有三家,分别是广发银行、中国民生银行和泉州银行。
研究人员归纳出两点来解释隐私泄露严重的原因。
第一,应用开发人员的安全防范意识和水平;
第二,银行对用户个人信息非常感兴趣,采用主动收集的方式。
一个有趣的现象是,除了民生银行,其他银行都是属于南方系。2013年9月,乌云漏洞报告平台曾公开了民生银行安卓应用的漏洞,称该漏洞可导致民生银行Android客户端敏感信息泄露。
安全隐患:排名最前和垫底的银行
根据应用中最基本安全隐患的多少和严重性程度,我们评出了2014年上半年度安全隐患最少和最多的银行及其应用,标注为“最靠前和垫底的银行排名”
安全隐患最少的App Security Certificate金牌得主是上海银行(上海不愧为中国金融业最发达的地区)。第二梯队比较多,有六家,分别是中信银行(全国性银行),天津银行,汉口银行,澳门永亨银行,成都农商银行和广东南粤银行。铜牌获得者有四家,它们是华夏银行,广发银行,昆仑银行和中国农业银行。令人欣慰的是这些银行里面包括了农行,中信等规模较大的全国性银行。
广发银行和成都农商银行虽然在前一轮的隐私泄露保护做的不理想,但是在这轮的安全隐患方面还是相当给力的。澳门永亨银行继续保持其安全典范,这轮又再次跻身进银牌阵列。汉口银行,广东南粤银行和昆仑银行做为小规模的地区性银行在安全方面非常加分。中国农行在全国性银行里素有稳健的风格,在安全方面做的也毫不逊色。
排名垫底的银行有三个,分别是民生银行,杭州银行和浙江稠州商业银行。浙江省区域银行占了2个名额。下面这张图是手机银行安全隐患分数分布图,前2个都民生银行的手机应用。
结束语
移动时代,应用为王!平台从浏览器转变到独立运行的移动应用; 应用将代替网站成为移动互联网的入口。手机病毒的爆发刚刚开始,今后几年我们将会看到大量的手机病毒自动制造工具,高级变异病毒的出现。同时大量企业由于IT架构的改变而将服务部署到手机上,加上企业数据和用户私人数据的混杂和手机的随身携带性,使得手机安全战场更加硝烟弥漫。我们希望读者除了借助外部安全厂商的工具进行保护之外,自身还要养成对个人数据保护的敏感性,内外兼修,才能达到良好的保护效果。
声明
本报告采用公开、合法的信息,由VisualThreat信息安全司的研究人员运用相应的研究方法,对所研究的对象做出的安全分析评判。本报告代表VisualThreat观点,仅供读者参考,并不构成任何建议。相关银行或者用户须根据情况自行判断,VisualThreat对银行品牌影响和用户的使用行为不负任何责任。VisualThreat公司力求信息的完整和准确,但是并不保证信息的完整性和准确性. 报告中提供的数据、观点、文字等信息不构成任何法律证据不代表官方机构意见。如果对报告数据有异议,可以联系VisualThreat公司。如果报告中的研究对象发生变化,我们将不另行通知。未获得VisualThreat公司的书面授权,任何人不得对本报告进行任何形式的进行有悖原意的删节和修改。如引用、刊发,需注明出处为“VisualThreat信息安全公司”。