2014上半年安卓银行应用隐私泄露和风险漏洞研究报告-Deep分析.PDFVIP

Deep Visualization for Mobile Threats 2014 上半年国内安卓银行应用 隐私泄露和安全隐患研究报告 Copyright © 2014 VisualThreat, Inc. All rights reserved. 声明 本报告采用公开、合法的信息，由VisualThreat 信息安全司的研究人员运用相应的研究方 法，对所研究的对象做出的安全分析评判。本报告代表VisualThreat 观点，仅供读者参考， 并不构成任何建议。相关银行或者用户须根据情况自行判断，VisualThreat 对银行品牌影 响和用户的使用行为不负任何责任。VisualThreat 公司力求信息的完整和准确，但是并不 保证信息的完整性和准确性. 报告中提供的数据、观点、文字等信息不构成任何法律证 据不代表官方机构意见。如果对报告数据有异议，可以联系 VisualThreat 公司。如果报告 中的研究对象发生变化，我们将不另行通知。未获得VisualThreat 公司的书面授权，任何 人不得对本报告进行任何形式的进行有悖原意的删节和修改。如引用、刊发，需注明出 处为“VisualThreat 信息安全公司”。 Copyright © 2014 VisualThreat, Inc. All rights reserved. 前言 2014年是中国国际互联网成立至今的第20周年。移动通信技术的快速发展导致移动设 备的数量呈指数级增长，2014年手机网民大概有5亿人。手机病毒的指数级增长无疑是移 动安全的爆发点，具体表现在移动支付安全是移动互联网新的挑战。新的移动应用和新功 能,如网上银行、游戏、和手机收费等，为用户带来了私人隐私泄露等安全风险。 2013年12月VisualThreat 【1】对谷歌应用商店里数以百计的热门圣诞及新年应用种 类进行研究分析后发现，竟然创纪录的高达51%的圣诞节手机应用里包括广告。另一方 面，国内手机应用第三方商店很多，管理比较混乱，病毒容易传播，因此应用商店更需要 对应用进行定期和威胁检测服务。 目前大多数银行使用自己开发的移动应用软件来运行移动金融业务来为客户提供移动 金融服务。不幸的是，由于缺少规范的安全监管标准和流程，许多银行不能对其应用软件 充分执行必要的安全性测试，结果导致许多银行移动应用可能会在不知不觉的情况下将重 要的数据信息暴露给黑客，将使用应用的银行客户置于风险之中。 为了更好地对国内银行的移动应用的安全现状做全方面的调研和评估，移动互联网安 全公司VisualThreat 在2014年上半年度收集了国内近80家银行开发的移动银行应用，通 过为每一款手机应用生成详细的风险分析报告和计算对应的安全认证分数(Mobile ThreatCert)，对全部应用进行了安全性的量化评估，最终基于结果得出了银行应用的安 全排名。报告的安全评估内容主要分为用户隐私泄漏和安全隐患两个方面。这份报告是就 我们所知的到目前为止针对银行安卓应用覆盖面最广的研究报告之一。 2014 上半年安卓银行应用隐私泄露和风险隐患研究报告 3 隐私泄露 每10 个安卓银行应用中有6 个具有中度到高度隐私泄露风险 从个人用户而言，隐私信息泄露是用户最关心的。在收集的近80家国内银行的手机银 行应用中,VisualThreat 发现超过65%的应用存在中度到高度隐私泄漏问题。这个数字与 我们之前的调研结果吻合：大部分安卓应用商店只有有限的或甚至没有安全验证，导致应 用商店里的大量流行的安卓应用都存在有潜在威胁的风险。 安全隐患 银行移动应用软件为用户提供移动金融业务和相关服务。由于缺少规范的安全监管标 准和流程，许多银行不能对其移动应用进行充分深入的安全性测试，导致许多银行移动应 用可能会在不知不觉地情况下将用户重要的隐私信息暴露给黑客。因此，银行迫切需要一 个可以将安全测试整合到其银行软件开发生命周期里的解决方案，来确保移动应用软件的 安全。 评测方法 隐私泄露风险评估矩阵 研究人员定义了5 个危险行为类型：数据泄漏、短信活动、文