袁方 趙甜 邱平文 韋安壘

摘? ?要：近年來，伴隨著移動(dòng)互聯(lián)網(wǎng)和移動(dòng)設(shè)備的飛速發(fā)展，移動(dòng)APP成為了人們生產(chǎn)生活中不可或缺的一部分。用戶通過證券行業(yè)APP進(jìn)行投資、理財(cái)和資產(chǎn)管理等活動(dòng)愈加普遍，大部分證券機(jī)構(gòu)也都提供了線上渠道開展業(yè)務(wù)。證券行業(yè)APP在給大眾生活帶來方便快捷的同時(shí)，也帶來了一些安全隱患。文章通過對(duì)證券行業(yè)APP網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查研究，發(fā)現(xiàn)其存在高危漏洞、惡意應(yīng)用感染、第三方SDK良莠不齊、越界索權(quán)等安全威脅，針對(duì)這些安全威脅，文章從多方面提出相應(yīng)的安全建議，以期規(guī)范證券行業(yè)APP市場健康發(fā)展。

關(guān)鍵詞：證券行業(yè);安全漏洞;APP安全;越界索權(quán)

中圖分類號(hào)： F832.5? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，移動(dòng)終端設(shè)備在不斷普及的同時(shí)，逐漸成為了人們生產(chǎn)生活中的必需品。證券行業(yè)緊抓時(shí)代脈搏，基于互聯(lián)網(wǎng)技術(shù)的線上證券操作方式走進(jìn)了人們的生活，與傳統(tǒng)證券線下業(yè)務(wù)辦理方式相比，線上辦理不受時(shí)間和空間的限制，隨時(shí)隨地都可以通過APP進(jìn)行業(yè)務(wù)辦理，給人們生活帶來了極大的便捷。

證券行業(yè)APP在給大眾生活帶來方便快捷的同時(shí)，也引發(fā)了一些安全隱患。如明文傳送用戶密碼、將敏感數(shù)據(jù)寫入日志文件、使用HTTP等不安全的通訊方式，嚴(yán)重地威脅著用戶的個(gè)人隱私和財(cái)產(chǎn)安全。本文研究基于證券行業(yè)APP安全現(xiàn)狀調(diào)研并進(jìn)行統(tǒng)計(jì)分析，最后提出對(duì)策建議。

2 證券行業(yè)APP基本情況

2.1 概述

證券行業(yè)APP是伴隨著移動(dòng)智能終端的普及迅速發(fā)展起來的一種線上業(yè)務(wù)辦理工具，是為了方便用戶辦理和查詢各項(xiàng)業(yè)務(wù)而開發(fā)的移動(dòng)智能終端應(yīng)用程序。近年來，隨著移動(dòng)終端的普及和智能化發(fā)展，帶動(dòng)了證券行業(yè)應(yīng)用從PC端平移至移動(dòng)端，用戶使用證券行業(yè)APP作為載體進(jìn)行證券操作，無形中也促進(jìn)了證券行業(yè)APP的發(fā)展。證券行業(yè)APP通過分時(shí)圖、分析圖（諸如K線圖、均線圖、MACD圖等）和行情表等幫助用戶分析大盤走勢、把握投資機(jī)會(huì)。證券行業(yè)APP可以忽略時(shí)間和空間的限制，以最快的速度將最新的行情推送至用戶，同時(shí)也避免了線下模式中用戶預(yù)約并必須去證券機(jī)構(gòu)現(xiàn)場辦理業(yè)務(wù)的情形，有利于用戶及時(shí)把握投資機(jī)會(huì)。隨著移動(dòng)技術(shù)的發(fā)展，證券行業(yè)APP逐步向人性化方向發(fā)展，產(chǎn)生了諸如智能資產(chǎn)配置、智能實(shí)時(shí)賬戶和智能條件單等智能化應(yīng)用服務(wù)。

2.2 背景

在我國，證券行業(yè)APP的發(fā)展一直備受國家、各部委的支持和重點(diǎn)關(guān)注?！吨腥A人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十二個(gè)五年規(guī)劃綱要》明確提出，要更好地發(fā)揮信用融資、證券、信托、理財(cái)、租賃、擔(dān)保、網(wǎng)商銀行等各類金融服務(wù)的資產(chǎn)配置和融資服務(wù)功能。《“十三五”國家信息化規(guī)劃》指出加快信息化發(fā)展，促進(jìn)資源互聯(lián)集成、高效利用，提升產(chǎn)業(yè)數(shù)字化、智能化水平，對(duì)推動(dòng)大眾創(chuàng)業(yè)、萬眾創(chuàng)新，培育新動(dòng)能，提高群眾生活品質(zhì)，意義重大。

從2016年至今，國家不斷加大對(duì)證券行業(yè)的規(guī)范整頓力度，相關(guān)政策不斷涌現(xiàn)，從2018年開始，國家對(duì)證券行業(yè)的規(guī)范治理要求更加細(xì)化。由于國家對(duì)互聯(lián)網(wǎng)行業(yè)的重視，線上線下規(guī)范監(jiān)管趨勢愈加明顯，證券行業(yè)APP野蠻發(fā)展時(shí)代宣告結(jié)束，未來證券行業(yè)的監(jiān)管政策將更加嚴(yán)謹(jǐn)迅速、精準(zhǔn)高效。

3 證券行業(yè)APP安全現(xiàn)狀

近年來，伴隨著移動(dòng)互聯(lián)網(wǎng)和移動(dòng)設(shè)備的飛速發(fā)展，移動(dòng)APP成為了人們生產(chǎn)生活中不可或缺的一部分。用戶通過證券行業(yè)APP進(jìn)行投資、理財(cái)和資產(chǎn)管理等活動(dòng)愈加普遍，大部分證券機(jī)構(gòu)也都提供了線上渠道開展業(yè)務(wù)。然而，證券行業(yè)APP在給大眾生活帶來方便快捷的同時(shí)，也引發(fā)了一些安全隱患：一是由于移動(dòng)APP網(wǎng)絡(luò)相關(guān)法律法規(guī)不健全，標(biāo)準(zhǔn)規(guī)范不完善，給不法分子可乘之機(jī);二是部分證券行業(yè)APP從業(yè)者安全意識(shí)淡薄，防護(hù)技術(shù)手段落后，開發(fā)流程不規(guī)范，更新修復(fù)不及時(shí)等，例如明文傳送用戶密碼、多數(shù)APP將敏感數(shù)據(jù)寫入日志文件、使用HTTP等不安全的通訊方式，容易遭受中間人攻擊和代碼安全問題，安裝包容易被逆向工程;三是部分證券行業(yè)APP的隱私政策都存在言語模糊、更新緩慢、暗藏格式條款等弊病，從內(nèi)容來看，描述企業(yè)權(quán)利以及可免除責(zé)任的居多，描述企業(yè)在保護(hù)用戶個(gè)人信息時(shí)應(yīng)盡義務(wù)的寥寥無幾。

4 證券行業(yè)APP安全風(fēng)險(xiǎn)分析

4.1 惡意應(yīng)用屢見不鮮

本文研究發(fā)現(xiàn)，7.5%證券行業(yè)APP含有惡意程序，主要包括用戶的隱私數(shù)據(jù)收集、惡意扣費(fèi)、流量資源消耗、廣告推送等多種惡意行為，惡意程序類型分布如圖1所示，81%的惡意程序存在流氓行為，這類惡意程序不向用戶申請(qǐng)權(quán)限，直接彈出廣告窗口;10.2%的惡意應(yīng)用存在信息竊取行為，這類惡意應(yīng)用會(huì)通過隱蔽手段在用戶不知情或未授權(quán)的情況下竊取用戶個(gè)人隱私，威脅用戶的隱私安全;5.25%的惡意應(yīng)用存在惡意傳播行為，這類惡意應(yīng)用會(huì)私自將各種惡意程序擴(kuò)散到正常設(shè)備。惡意程序?qū)τ脩舻奈：κ嵌喾矫娴?，一旦用戶受到惡意程序的威脅，用戶的移動(dòng)終端就會(huì)存在極大的安全隱患，對(duì)用戶的生產(chǎn)和生活帶來不良影響。

4.2 安全漏洞尤為突出

本文研究發(fā)現(xiàn)，高危漏洞類型中，動(dòng)態(tài)注冊(cè)Receiver風(fēng)險(xiǎn)尤其嚴(yán)重，Janus漏洞風(fēng)險(xiǎn)緊隨其后，第三為Web View遠(yuǎn)程代碼執(zhí)行漏洞，第四和第五為Java代碼泄漏和日志數(shù)據(jù)泄露風(fēng)險(xiǎn)，Web View明文存儲(chǔ)密碼漏洞和RSA加密算法不安全使用風(fēng)險(xiǎn)排在第六和第七。高危漏洞類型分布如圖2所示。

4.3 越界索權(quán)現(xiàn)象普遍

本次研究挑選了10款綜合排名相對(duì)比較靠前的證券行業(yè)APP，所有APP均存在越界索權(quán)現(xiàn)象，從獲取高敏權(quán)限種類來看，存在證券行業(yè)APP最多獲取18種高敏感權(quán)限，有證券行業(yè)APP最高獲取14種中敏權(quán)限，低敏權(quán)限獲取相對(duì)較少，基本在2～4種左右，存在獲取低敏權(quán)限種類為0的證券行業(yè)APP。