金融知识

315曝光多款APP违规收集个人信息,金融APP有哪些应用风险?
发布时间:2020-07-30     点击率:725

受疫情影响,今年的315晚会挪到了7月16日晚上,瞬间朋友圈就被315刷屏了,被315点名的多种现象中,有几个大家讨论比较多的,其中一个就是关于APP违规收集信息的情况,今天我们来详细说一下~

 

多款APP违规收集个人信息

 

此次晚会中提到了手机App违规收集个人信息问题,某些APP在后台读取电话号码、通讯录、短信记录、应用列表等信息的同时,上传联系人、交易验证码等数据到第三方服务器。

 

并且,第三方SDK除了收集用户手机号码、设备信息之外,还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息,在采集之后还会发送至指定服务器进行存储。


对此,工信部发布公告,立即组织北京、上海通信管理局对涉事两家SDK企业,北京招彩旺旺信息技术有限公司和上海氪信信息技术有限公司进行核查处理,对存在问题的APP第一时间启动下架程序。并且责成阿里、腾讯、百度、华为、小米、OPPO、vivo、360等国内主要应用商店,第一时间对类似问题进行“地毯式”排查,及时发现、处理违规收集用户个人信息的SDK。

 

而此次提到的50多个违规收集信息的App中,金融类就超过40个。


 image.png


如何判定金融APP信息收集合法性?

 

网络安全法第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

 

因此判定金融APP信息收集是否合法有几个关键点。

 

1、是否明确了信息的使用用途。比如金融机构获取用户信息时,明示收集手机通讯录信息将被用于贷款审批及债务催收,那么就不算非法获取。没有明示的情况下用于这些用途则违反了相关规定。


2、隐私协议是否合规。有些隐私协议条款暗含免除一方责任,加重对方责任,排除对方主要权利的内容,这样的条款是无效的。


3、是否获取本人授权。如果机构要提取或使用用户信息,必须获取信息主体本人的明确授权。


2019年,中国信通院发布了一份《2019金融行业移动App安全观测报告》,从金融行业 App 细分领域来看,借贷类 App 包揽前三名中的两个席位。其中,面向个人用户的消费金融类 App 数量最多,占观测总数的 36.74%;面向企业的 P2P 金融类 App 排名第三,占观测总数的 11.38%;彩票类App 排名第二,占观测总数的 27.19%。


 image.png


这十几万金融行业APP中,除了信息违规收集,还存在其他的一些风险,下面小金就为大家介绍一下存在比较多的风险有哪些?

 

金融APP中的普遍风险

 

1、高危漏洞。其中最典型的就是数据泄露风险,攻击者可以利用其中的漏洞窃取用户数据,进行 App 仿冒、植入恶意程序、攻击服务等,对 App 安全具有严重威胁。


金融行业 App 中,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞。平均每款金融行业 App 存在 20.3 个安全漏洞,其中 6.7 个为高危漏洞。

 

互联网第三方支付和信托类 App 的高危漏洞问题较为突出,存在高危漏洞 App 的比例 93.87%和 93.44%。保险、投资理财、外汇等分类的 App 高危漏洞问题也相对严重,存在高危漏洞的 App 比例超过 85%。(数据来自中国信息通信研究院)


2、恶意程序感染风险。


主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为,受到流氓行为恶意程序感染的 App 占比最多,约为 82.02%。所谓流氓行为指的就是在用户未授权的情况下,弹出广告窗口等,不仅影响用户使用体验,而且如用户误触点击可能带来进一步隐私风险和安全问题。


3、使用 SDK 引入风险


在金融行业APP中,大概有超过五分之一的APP被嵌入了第三方SDK,第三方 SDK 存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险,而消费金融类、彩票类、P2P 金融类受到恶意程序感染的比例相对较高。


4、违规索权风险。


我们上面也有提到过,有些APP的协议中隐含了超范围索取用户权限的情况,App 索取用户设备的敏感权限和用户的隐私信息,可能导致用户设备被植入恶意程序、用户账户和隐私信息泄露等一系列安全风险。而个人隐私信息一旦泄露,就会随之带来骚扰电话、信息诈骗、恶意推销、网络情感诈骗等一系列风险。

 

全国信息安全标准化技术委员会于 2019 年 6 月发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》明确规定,金融行业 App 基本业务功能收集的必要信息包括:“手机号码”、“账号信息”、“身份信息”、“银行账户信息”、“个人征信信息”、“紧急联系人信息”以及“借贷交易记录”7 项内容。应用程序访问设备的手机功能及修改或删除存储卡中的内容涉嫌超范围获取权限。此外,App 惯常获取的高敏感权限还包括:发起电话呼叫、录制音频、拍摄照片和录制视频、读取系统日志等。

 

5、安全加固不足。


在去年的观测报告中,超过80%的金融行业APP没有进行任何的安全加固,而基于 Java 语言编写的安卓应用程序如不进行加固,则其打包的 APK 文件很容易被反编译工具进行逆向分析,进而暴露风险。

 

用户如何规避风险?

 

1、在正规应用市场下载APP。手机都有自带的应用市场,这种安全性比较高,不要随意点击不明链接或扫描不明二维码通过浏览器进行下载。如果必须通过链接或二维码下载,可以跟相关的开发商确认一下是否为官方APP。


2、下载前查看软件详情。要确定软件有相关的安全审核认证,并且可以关注下相关评价,如果评分比较低就要多考虑一下。当然,评分只是一个参考,毕竟市场上恶意评分也很常见。


3、警惕“山寨”APP。如果下载使用软件的过程中经常出现bug,漏洞较多,那就要检查一下是否不小心下载了“山寨”APP,及时卸载。


4、谨慎授权。很多APP在下载注册时要求授权多项个人信息,使用者应当辨别要求授权的信息是否为必要信息,遇到非必要信息要谨慎授权。

 

软件的信息安全问题对于每个人来说都至关重要,尤其是现在网络技术越来越发达,我们对于网络的依赖越来越高,如果信息安全不能保证,那么会对我们的财产安全造成极大的威胁。尤其是金融类的APP,更加需要保证信息安全性。


有关部门加强常态化监管的同时,用户也应该提高自身警惕,有意识的保护自己的信息安全。另外,中国互联网金融协会组织了金融APP备案,大家可以自行查看,了解已经备案的APP有哪些,查看网址:http://www.nifa.org.cn/nifa/2986584/2986585/2988981/index.html


有关部门加强常态化监管的同时,用户也应该提高自身警惕,有意识的保护自己的信息安全。