2014上半年国内安卓银行应用隐私泄露和安全隐患研究报告

对用户的隐私泄露最少的银行，暨AppSecurity Certificate金牌认证得主有两家，分别是香港的恒生银行和澳门的永亨银行。第二梯队的银牌得主是哈尔滨银行。铜牌获得者是齐鲁银行。令人遗憾的是这些银行里面没有一家是全国性的银行。

隐私泄露的多少不能直接代表银行应用安全性的开发水平。事实上很多银行为了能充分获得其应用使用者的个人隐私信息和手机信息，主动地在应用开发代码中收集过多的用户个人信息，并把这些信息提交到银行的云服务数据库去，建立用户的档案，方便以后的服务推广和广告精准投放。香港和澳门的金融管制政策比内地更严厉一些，所以它们位居榜首也是情理之中。

排名垫底的银行也有三个梯队，分别是成都农商银行，用户隐私泄露风险最为严重。其次是贵阳银行，第三梯队有三家，分别是广发银行、中国民生银行和泉州银行。

研究人员归纳出两点来解释隐私泄露严重的原因。

第一，应用开发人员的安全防范意识和水平；  第二，银行对用户个人信息非常感兴趣，采用主动收集的方式。

一个有趣的现象是，除了民生银行，其他银行都是属于南方系。2013年9月，乌云漏洞报告平台曾公开了民生银行安卓应用的漏洞，称该漏洞可导致民生银行Android客户端敏感信息泄露。

安全隐患:排名最前和垫底的银行

根据应用中最基本安全隐患的多少和严重性程度，我们评出了2014年上半年度安全隐患最少和最多的银行及其应用，标注为“最靠前和垫底的银行排名”

安全隐患最少的App Security Certificate金牌得主是上海银行（上海不愧为中国金融业最发达的地区）。第二梯队比较多，有六家，分别是中信银行（全国性银行），天津银行，汉口银行，澳门永亨银行，成都农商银行和广东南粤银行。铜牌获得者有四家，它们是华夏银行，广发银行，昆仑银行和中国农业银行。令人欣慰的是这些银行里面包括了农行，中信等规模较大的全国性银行。

广发银行和成都农商银行虽然在前一轮的隐私泄露保护做的不理想，但是在这轮的安全隐患方面还是相当给力的。澳门永亨银行继续保持其安全典范，这轮又再次跻身进银牌阵列。汉口银行，广东南粤银行和昆仑银行做为小规模的地区性银行在安全方面非常加分。中国农行在全国性银行里素有稳健的风格，在安全方面做的也毫不逊色。

排名垫底的银行有三个，分别是民生银行，杭州银行和浙江稠州商业银行。浙江省区域银行占了2个名额。下面这张图是手机银行安全隐患分数分布图，前2个都民生银行的手机应用。

结束语

移动时代，应用为王！平台从浏览器转变到独立运行的移动应用; 应用将代替网站成为移动互联网的入口。手机病毒的爆发刚刚开始，今后几年我们将会看到大量的手机病毒自动制造工具，高级变异病毒的出现。同时大量企业由于IT架构的改变而将服务部署到手机上，加上企业数据和用户私人数据的混杂和手机的随身携带性，使得手机安全战场更加硝烟弥漫。我们希望读者除了借助外部安全厂商的工具进行保护之外，自身还要养成对个人数据保护的敏感性，内外兼修，才能达到良好的保护效果。

声明

本报告采用公开、合法的信息，由VisualThreat信息安全司的研究人员运用相应的研究方法，对所研究的对象做出的安全分析评判。本报告代表VisualThreat观点，仅供读者参考，并不构成任何建议。相关银行或者用户须根据情况自行判断，VisualThreat对银行品牌影响和用户的使用行为不负任何责任。VisualThreat公司力求信息的完整和准确，但是并不保证信息的完整性和准确性. 报告中提供的数据、观点、文字等信息不构成任何法律证据不代表官方机构意见。如果对报告数据有异议，可以联系VisualThreat公司。如果报告中的研究对象发生变化，我们将不另行通知。未获得VisualThreat公司的书面授权，任何人不得对本报告进行任何形式的进行有悖原意的删节和修改。如引用、刊发，需注明出处为“VisualThreat信息安全公司”。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友