2014上半年国内安卓银行应用隐私泄露和安全隐患研究报告

2014年是中国国际互联网成立至今的第20周年。移动通信技术的快速发展导致移动设备的数量呈指数级增长，2014年手机网民大概有5亿人。手机病毒的指数级增长无疑是移动安全的爆发点，具体表现在移动支付安全是移动互联网新的挑战。新的移动应用和新功能,如网上银行、游戏、和手机收费等，为用户带来了私人隐私泄露等安全风险。

目前大多数银行使用自己开发的移动应用软件来运行移动金融业务来为客户提供移动金融服务。不幸的是，由于缺少规范的安全监管标准和流程，许多银行不能对其应用软件充分执行必要的安全性测试，结果导致许多银行移动应用可能会在不知不觉的情况下将重要的数据信息暴露给黑客，将使用应用的银行客户置于风险之中。

为了更好地对国内银行的移动应用的安全现状做全方面的调研和评估，移动互联网安全公司VisualThreat在2014年上半年度收集了国内近80家银行开发的移动银行应用，通过为每一款手机应用生成详细的风险分析报告和计算对应的安全认证分数(MobileThreatCert)，对全部应用进行了安全性的量化评估，最终基于结果得出了银行应用的安全排名。报告的安全评估内容主要分为用户隐私泄漏和安全隐患两个方面。这份报告是就我们所知的到目前为止针对银行安卓应用覆盖面最广的研究报告之一。

报告摘要：

每10个安卓银行应用中有6个具有中度到高度隐私泄露风险

从个人用户而言，隐私信息泄露是用户最关心的。在收集的近80家国内银行的手机银行应用中,VisualThreat发现超过65%的应用存在中度到高度隐私泄漏问题。这个数字与我们之前的调研结果吻合：大部分安卓应用商店只有有限的或甚至没有安全验证，导致应用商店里的大量流行的安卓应用都存在有潜在威胁的风险。

隐私泄露风险评估矩阵

研究人员定义了5个危险行为类型：数据泄漏、短信活动、文件操作、监视和网络活动。在此基础上，为每一个移动应用生成一份详细的应用隐私泄露风险分析报告，并计算出对应MobileThreatCert值，用1到100之间的数字去指示应用程序的安全指数。

安全隐患风险评估矩阵

安全隐患包括3个方面:数据存储安全、功能安全和代码安全。之所以选择这三点，因为它们是移动应用安全隐患检测最基本的方面。这几点的安全验证代表了移动应用软件安全开发的水平。这些方面做不好，其他更高级的保护措施也无从谈起。我们后续的报告里将包括更多的安全隐患评测点。

隐私泄露:排名最前和垫底的银行

根据应用中数据泄露行为点的多少和严重性程度以及安全认证分数，我们评出了2014年上半年度隐私泄露最少和最严重的银行应用，标注为“最靠前和垫底的银行排名”。这个排名信息可以帮助用户在选择和使用银行移动应用时作为参考

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友