袁方 趙甜 邱平文 韋安壘

摘? ?要：近年來，伴隨著移動互聯(lián)網(wǎng)和移動設(shè)備的飛速發(fā)展，移動APP成為了人們生產(chǎn)生活中不可或缺的一部分。用戶通過證券行業(yè)APP進行投資、理財和資產(chǎn)管理等活動愈加普遍，大部分證券機構(gòu)也都提供了線上渠道開展業(yè)務(wù)。證券行業(yè)APP在給大眾生活帶來方便快捷的同時，也帶來了一些安全隱患。文章通過對證券行業(yè)APP網(wǎng)絡(luò)安全現(xiàn)狀進行調(diào)查研究，發(fā)現(xiàn)其存在高危漏洞、惡意應(yīng)用感染、第三方SDK良莠不齊、越界索權(quán)等安全威脅，針對這些安全威脅，文章從多方面提出相應(yīng)的安全建議，以期規(guī)范證券行業(yè)APP市場健康發(fā)展。

關(guān)鍵詞：證券行業(yè);安全漏洞;APP安全;越界索權(quán)

中圖分類號： F832.5? ? ? ? ? 文獻標(biāo)識碼：A

1 引言

隨著移動互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，移動終端設(shè)備在不斷普及的同時，逐漸成為了人們生產(chǎn)生活中的必需品。證券行業(yè)緊抓時代脈搏，基于互聯(lián)網(wǎng)技術(shù)的線上證券操作方式走進了人們的生活，與傳統(tǒng)證券線下業(yè)務(wù)辦理方式相比，線上辦理不受時間和空間的限制，隨時隨地都可以通過APP進行業(yè)務(wù)辦理，給人們生活帶來了極大的便捷。

證券行業(yè)APP在給大眾生活帶來方便快捷的同時，也引發(fā)了一些安全隱患。如明文傳送用戶密碼、將敏感數(shù)據(jù)寫入日志文件、使用HTTP等不安全的通訊方式，嚴(yán)重地威脅著用戶的個人隱私和財產(chǎn)安全。本文研究基于證券行業(yè)APP安全現(xiàn)狀調(diào)研并進行統(tǒng)計分析，最后提出對策建議。

2 證券行業(yè)APP基本情況

2.1 概述

證券行業(yè)APP是伴隨著移動智能終端的普及迅速發(fā)展起來的一種線上業(yè)務(wù)辦理工具，是為了方便用戶辦理和查詢各項業(yè)務(wù)而開發(fā)的移動智能終端應(yīng)用程序。近年來，隨著移動終端的普及和智能化發(fā)展，帶動了證券行業(yè)應(yīng)用從PC端平移至移動端，用戶使用證券行業(yè)APP作為載體進行證券操作，無形中也促進了證券行業(yè)APP的發(fā)展。證券行業(yè)APP通過分時圖、分析圖（諸如K線圖、均線圖、MACD圖等）和行情表等幫助用戶分析大盤走勢、把握投資機會。證券行業(yè)APP可以忽略時間和空間的限制，以最快的速度將最新的行情推送至用戶，同時也避免了線下模式中用戶預(yù)約并必須去證券機構(gòu)現(xiàn)場辦理業(yè)務(wù)的情形，有利于用戶及時把握投資機會。隨著移動技術(shù)的發(fā)展，證券行業(yè)APP逐步向人性化方向發(fā)展，產(chǎn)生了諸如智能資產(chǎn)配置、智能實時賬戶和智能條件單等智能化應(yīng)用服務(wù)。

2.2 背景

在我國，證券行業(yè)APP的發(fā)展一直備受國家、各部委的支持和重點關(guān)注?！吨腥A人民共和國國民經(jīng)濟和社會發(fā)展第十二個五年規(guī)劃綱要》明確提出，要更好地發(fā)揮信用融資、證券、信托、理財、租賃、擔(dān)保、網(wǎng)商銀行等各類金融服務(wù)的資產(chǎn)配置和融資服務(wù)功能?！丁笆濉眹倚畔⒒?guī)劃》指出加快信息化發(fā)展，促進資源互聯(lián)集成、高效利用，提升產(chǎn)業(yè)數(shù)字化、智能化水平，對推動大眾創(chuàng)業(yè)、萬眾創(chuàng)新，培育新動能，提高群眾生活品質(zhì)，意義重大。

從2016年至今，國家不斷加大對證券行業(yè)的規(guī)范整頓力度，相關(guān)政策不斷涌現(xiàn)，從2018年開始，國家對證券行業(yè)的規(guī)范治理要求更加細(xì)化。由于國家對互聯(lián)網(wǎng)行業(yè)的重視，線上線下規(guī)范監(jiān)管趨勢愈加明顯，證券行業(yè)APP野蠻發(fā)展時代宣告結(jié)束，未來證券行業(yè)的監(jiān)管政策將更加嚴(yán)謹(jǐn)迅速、精準(zhǔn)高效。

3 證券行業(yè)APP安全現(xiàn)狀

近年來，伴隨著移動互聯(lián)網(wǎng)和移動設(shè)備的飛速發(fā)展，移動APP成為了人們生產(chǎn)生活中不可或缺的一部分。用戶通過證券行業(yè)APP進行投資、理財和資產(chǎn)管理等活動愈加普遍，大部分證券機構(gòu)也都提供了線上渠道開展業(yè)務(wù)。然而，證券行業(yè)APP在給大眾生活帶來方便快捷的同時，也引發(fā)了一些安全隱患：一是由于移動APP網(wǎng)絡(luò)相關(guān)法律法規(guī)不健全，標(biāo)準(zhǔn)規(guī)范不完善，給不法分子可乘之機;二是部分證券行業(yè)APP從業(yè)者安全意識淡薄，防護技術(shù)手段落后，開發(fā)流程不規(guī)范，更新修復(fù)不及時等，例如明文傳送用戶密碼、多數(shù)APP將敏感數(shù)據(jù)寫入日志文件、使用HTTP等不安全的通訊方式，容易遭受中間人攻擊和代碼安全問題，安裝包容易被逆向工程;三是部分證券行業(yè)APP的隱私政策都存在言語模糊、更新緩慢、暗藏格式條款等弊病，從內(nèi)容來看，描述企業(yè)權(quán)利以及可免除責(zé)任的居多，描述企業(yè)在保護用戶個人信息時應(yīng)盡義務(wù)的寥寥無幾。

4 證券行業(yè)APP安全風(fēng)險分析

4.1 惡意應(yīng)用屢見不鮮

本文研究發(fā)現(xiàn)，7.5%證券行業(yè)APP含有惡意程序，主要包括用戶的隱私數(shù)據(jù)收集、惡意扣費、流量資源消耗、廣告推送等多種惡意行為，惡意程序類型分布如圖1所示，81%的惡意程序存在流氓行為，這類惡意程序不向用戶申請權(quán)限，直接彈出廣告窗口;10.2%的惡意應(yīng)用存在信息竊取行為，這類惡意應(yīng)用會通過隱蔽手段在用戶不知情或未授權(quán)的情況下竊取用戶個人隱私，威脅用戶的隱私安全;5.25%的惡意應(yīng)用存在惡意傳播行為，這類惡意應(yīng)用會私自將各種惡意程序擴散到正常設(shè)備。惡意程序?qū)τ脩舻奈：κ嵌喾矫娴?，一旦用戶受到惡意程序的威脅，用戶的移動終端就會存在極大的安全隱患，對用戶的生產(chǎn)和生活帶來不良影響。

4.2 安全漏洞尤為突出

本文研究發(fā)現(xiàn)，高危漏洞類型中，動態(tài)注冊Receiver風(fēng)險尤其嚴(yán)重，Janus漏洞風(fēng)險緊隨其后，第三為Web View遠(yuǎn)程代碼執(zhí)行漏洞，第四和第五為Java代碼泄漏和日志數(shù)據(jù)泄露風(fēng)險，Web View明文存儲密碼漏洞和RSA加密算法不安全使用風(fēng)險排在第六和第七。高危漏洞類型分布如圖2所示。

4.3 越界索權(quán)現(xiàn)象普遍

本次研究挑選了10款綜合排名相對比較靠前的證券行業(yè)APP，所有APP均存在越界索權(quán)現(xiàn)象，從獲取高敏權(quán)限種類來看，存在證券行業(yè)APP最多獲取18種高敏感權(quán)限，有證券行業(yè)APP最高獲取14種中敏權(quán)限，低敏權(quán)限獲取相對較少，基本在2～4種左右，存在獲取低敏權(quán)限種類為0的證券行業(yè)APP。