現在，無論是藉錢、投資還是交易支付，大家用金融類App的頻率大大增加，這些和“錢”有關的App到底安全性幾何？最近，中國信通院發布了一份《2019金融行業移動App安全觀測報告》。截止2019年9月11日，中國信通院的報告團隊從232個安卓應用市場中收錄了133327款金融行業App。

從觀測對象的地域分佈來看，有130022 款可以明確歸屬省份，全國34 個省級行政區均有金融行業App 生成，平均每個省份生成金融行業App3824 款。金融行業App 地域分佈不均，廣東、湖北和北京分別以29.60%、21.30%和12.96%的高佔比排名金融行業App 生成數量前三,而西藏、青海等6 省份總佔比僅有0.18% 。

從金融行業App 細分領域來看，借貸類App 包攬前三名中的兩個席位。其中，面向個人用戶的消費金融類App 數量最多，佔觀測總數的36.74%；面向企業的P2P 金融類App 排名第三，佔觀測總數的11.38%；彩票類App 排名第二，佔觀測總數的27.19 %。

不同細分領域App 佔比如圖所示：

重頭戲來了，這些金融App 的風險集中表現在哪裡？

1.以數據洩露為代表的高危漏洞風險

在本次觀測中，發現有70.22%的金融行業App 存在高危漏洞，攻擊者可利用這些漏洞竊取用戶數據、進行App 仿冒、植入惡意程序、攻擊服務等,對App 安全具有嚴重威脅。其中Top3 的高危漏洞均存在導致App 數據洩露的風險。

2.以流氓行為代表的惡意程序感染風險

本次觀測發現，共有8217 款金融行業App 被檢測出惡意程序，感染率為6.16%，主要涉及的惡意行為包括流氓行為、信息竊取、惡意傳播、資費消耗、遠程控制等多種惡意行為，給App 用戶的個人隱私及財產安全帶來危害。其中受到流氓行為惡意程序感染的App 佔比最多，約為82.02%。

3.使用第三方SDK 引入安全風險

本次觀測發現，共有20.48%的金融行業App 被嵌入了第三方SDK，嵌入的SDK 數量共計高達104005 個。在嵌入SDK 的金融行業App 中，有45%的App 嵌入了5 個及以上的SDK。由於第三方SDK 存在隱蔽收集用戶信息、自身安全漏洞易被不法分子利用等安全風險， 使得金融行業App 也面臨一定的安全隱患。 

4.違規索權帶來的隱私洩露風險

本次觀測中選取了具有典型代表性的12 款下載量過億的金融行業App 進行抽樣分析經研究發現，多款App 存在不同程度的超範圍索取用戶權限的情況，在隱私政策方面也存在多種違法違規行為，給用戶個人隱私信息安全帶來隱患。App 用戶的個人隱私信息一旦洩露，將帶來嚴重的後果，如騷擾電話、信息詐騙、惡意推銷、網絡情感詐騙等，會嚴重損害App 用戶的利益。

5.安全加固不足暴露安全風險

本次觀測發現，僅有17.08%的金融行業App 進行了安全加固，超過80%的金融行業App 在應用市場“裸奔”，未進行任何的安全加固。然而,基於Java 語言編寫的安卓應用程序如不進行加固，則其打包的APK 文件很容易被反編譯工具進行逆向分析，進而暴露風險。