袁方 赵甜 邱平文 韦安垒
摘 要:近年来,伴随着移动互联网和移动设备的飞速发展,移动APP成为了人们生产生活中不可或缺的一部分。用户通过证券行业APP进行投资、理财和资产管理等活动愈加普遍,大部分证券机构也都提供了线上渠道开展业务。证券行业APP在给大众生活带来方便快捷的同时,也带来了一些安全隐患。文章通过对证券行业APP网络安全现状进行调查研究,发现其存在高危漏洞、恶意应用感染、第三方SDK良莠不齐、越界索权等安全威胁,针对这些安全威胁,文章从多方面提出相应的安全建议,以期规范证券行业APP市场健康发展。
关键词:证券行业;安全漏洞;APP安全;越界索权
中图分类号: F832.5 文献标识码:A
1 引言
随着移动互联网技术的蓬勃发展,移动终端设备在不断普及的同时,逐渐成为了人们生产生活中的必需品。证券行业紧抓时代脉搏,基于互联网技术的线上证券操作方式走进了人们的生活,与传统证券线下业务办理方式相比,线上办理不受时间和空间的限制,随时随地都可以通过APP进行业务办理,给人们生活带来了极大的便捷。
证券行业APP在给大众生活带来方便快捷的同时,也引发了一些安全隐患。如明文传送用户密码、将敏感数据写入日志文件、使用HTTP等不安全的通讯方式,严重地威胁着用户的个人隐私和财产安全。本文研究基于证券行业APP安全现状调研并进行统计分析,最后提出对策建议。
2 证券行业APP基本情况
2.1 概述
证券行业APP是伴随着移动智能终端的普及迅速发展起来的一种线上业务办理工具,是为了方便用户办理和查询各项业务而开发的移动智能终端应用程序。近年来,随着移动终端的普及和智能化发展,带动了证券行业应用从PC端平移至移动端,用户使用证券行业APP作为载体进行证券操作,无形中也促进了证券行业APP的发展。证券行业APP通过分時图、分析图(诸如K线图、均线图、MACD图等)和行情表等帮助用户分析大盘走势、把握投资机会。证券行业APP可以忽略时间和空间的限制,以最快的速度将最新的行情推送至用户,同时也避免了线下模式中用户预约并必须去证券机构现场办理业务的情形,有利于用户及时把握投资机会。随着移动技术的发展,证券行业APP逐步向人性化方向发展,产生了诸如智能资产配置、智能实时账户和智能条件单等智能化应用服务。
2.2 背景
在我国,证券行业APP的发展一直备受国家、各部委的支持和重点关注。《中华人民共和国国民经济和社会发展第十二个五年规划纲要》明确提出,要更好地发挥信用融资、证券、信托、理财、租赁、担保、网商银行等各类金融服务的资产配置和融资服务功能。《“十三五”国家信息化规划》指出加快信息化发展,促进资源互联集成、高效利用,提升产业数字化、智能化水平,对推动大众创业、万众创新,培育新动能,提高群众生活品质,意义重大。
从2016年至今,国家不断加大对证券行业的规范整顿力度,相关政策不断涌现,从2018年开始,国家对证券行业的规范治理要求更加细化。由于国家对互联网行业的重视,线上线下规范监管趋势愈加明显,证券行业APP野蛮发展时代宣告结束,未来证券行业的监管政策将更加严谨迅速、精准高效。
3 证券行业APP安全现状
近年来,伴随着移动互联网和移动设备的飞速发展,移动APP成为了人们生产生活中不可或缺的一部分。用户通过证券行业APP进行投资、理财和资产管理等活动愈加普遍,大部分证券机构也都提供了线上渠道开展业务。然而,证券行业APP在给大众生活带来方便快捷的同时,也引发了一些安全隐患:一是由于移动APP网络相关法律法规不健全,标准规范不完善,给不法分子可乘之机;二是部分证券行业APP从业者安全意识淡薄,防护技术手段落后,开发流程不规范,更新修复不及时等,例如明文传送用户密码、多数APP将敏感数据写入日志文件、使用HTTP等不安全的通讯方式,容易遭受中间人攻击和代码安全问题,安装包容易被逆向工程;三是部分证券行业APP的隐私政策都存在言语模糊、更新缓慢、暗藏格式条款等弊病,从内容来看,描述企业权利以及可免除责任的居多,描述企业在保护用户个人信息时应尽义务的寥寥无几。
4 证券行业APP安全风险分析
4.1 恶意应用屡见不鲜
本文研究发现,7.5%证券行业APP含有恶意程序,主要包括用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,恶意程序类型分布如图1所示,81%的恶意程序存在流氓行为,这类恶意程序不向用户申请权限,直接弹出广告窗口;10.2%的恶意应用存在信息窃取行为,这类恶意应用会通过隐蔽手段在用户不知情或未授权的情况下窃取用户个人隐私,威胁用户的隐私安全;5.25%的恶意应用存在恶意传播行为,这类恶意应用会私自将各种恶意程序扩散到正常设备。恶意程序对用户的危害是多方面的,一旦用户受到恶意程序的威胁,用户的移动终端就会存在极大的安全隐患,对用户的生产和生活带来不良影响。
4.2 安全漏洞尤为突出
本文研究发现,高危漏洞类型中,动态注册Receiver风险尤其严重,Janus漏洞风险紧随其后,第三为Web View远程代码执行漏洞,第四和第五为Java代码泄漏和日志数据泄露风险,Web View明文存储密码漏洞和RSA加密算法不安全使用风险排在第六和第七。高危漏洞类型分布如图2所示。
4.3 越界索权现象普遍
本次研究挑选了10款综合排名相对比较靠前的证券行业APP,所有APP均存在越界索权现象,从获取高敏权限种类来看,存在证券行业APP最多获取18种高敏感权限,有证券行业APP最高获取14种中敏权限,低敏权限获取相对较少,基本在2~4种左右,存在获取低敏权限种类为0的证券行业APP。