移动金融App安全分析及监管措施
时间:2022-07-16 11:45:23
导语:移动金融App安全分析及监管措施一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。
摘要:随着移动互联网技术的快速发展,越来越多的金融机构将借贷、支付、交易场景转移到线上,大量的移动金融app应运而生。本文研究了移动金融App的安全现状,针对目前金融App面临的安全漏洞、恶意程序、SDK隐患以及违规索权等风险问题,分析了其主要成因,并从安全监管、权益保护、违规惩戒、协同监管等方面提出了金融App安全规范的措施建议。
关键词:移动金融;安全风险;监管措施
一、移动金融App的发展现状
现今,智能手机已经成为人们生活中不可或缺的重要组成部分,很多传统的生活、工作、业务模式已实现了向移动智能端迁移,并催生了大量的移动客户端应用软件(App),其中就包括金融类App。对于互联网金融来说,金融类App就像传统银行网点的业务柜台,可以实现所有信息在金融机构与客户之间的交换,极大地提升了金融业务办理的便捷性和可得性。据《2019年金融行业移动App安全观测报告》(以下简称《报告》)统计,截至2019年10月,我国移动金融App已达到13.3万款,约占整个移动App市场份额的5%,并仍处于高速增长阶段。可见,移动金融App已经深入应用到大众生活的方方面面。然而这些App或多或少也存在安全问题。2019年12月,公安部门集中查处整改的100款违法违规App及其运营企业中,银行和贷款等金融App成为“重灾区”,其中不乏执照经营的银行业金融机构。可见,移动金融App的安全问题不容乐观。
二、移动金融App的安全风险
(一)高危安全漏洞普遍存在。《报告》显示,通过对232个安卓应用市场中超13万款金融类App的监测发现,73.23%存在不同程度的安全漏洞,70.22%存在高危漏洞,平均每款移动金融类App存在20.3个安全漏洞,且6.7个是高危漏洞;攻击者可利用这些漏洞窃取客户数据、植入恶意代码、进行App仿冒、攻击正常服务等,具有严重的安全威胁。从金融App类型来看,互联网第三方支付和信托类App的高危漏洞最为突出,投资理财、保险等金融App高危漏洞也相对严重。(二)恶意程序带来巨大威胁。《报告》监测显示,8217款金融类App被检测出恶意程序,感染率为6.16%,主要涉及客户的隐私数据收集、窗口广告推送、流量资源占用、恶意扣费等行为,在用户不知情或未授权的情况下,对个人信息及财产安全带来巨大威胁。(三)广泛应用SDK引入风险。SDK是辅助开发同类应用软件的相关文档、范例和工具的集合。通常,开发者为了提升效率、降低成本,开发过程中会选择引用第三方SDK,但其常常存在较多安全隐患,是造成用户个人信息在网络上“裸奔”的罪魁祸首。据《报告》监测显示,20.48%的金融类App共嵌入10万多个第三方SDK,平均每款App嵌入3.8个;其中,推送类、统计类、社交类是嵌入SDK的前三。(四)违规索权侵犯用户隐私。移动金融App超范围获权现象普遍存在,常获取设备的高敏感权限,如超范围读取手机状态和身份权限,获取读取通讯录、摄像头、通话录音等与服务无关的权限,且未对收集到的相关信息所对应的功能进行有效说明,严重危害个人信息安全。
三、移动金融App的风险成因
(一)互联网金融井喷增长,缺乏准入标准。由于互联网金融“野蛮生长”时期留下的隐患,前期移动金融App更注重其互联网特性,准入门槛不高,这导致当前市场上的移动金融App存在安全防护能力参差不齐的问题,成为威胁金融信息安全与用户财产安全的重大隐患。(二)开发者安全意识弱,缺乏有效加固措施。“加固”是提升已App安全防护能力的重要手段,不仅能使其系统稳定性得到提升,还能在一定程度上规避风险。在如此高风险的背景下,仅有不到1/5的金融类App进行过一次安全加固,应用开发主体自我防护意识不强。(三)SDK安全性不高,缺乏有效的市场监管。目前,有超过60%的SDK含有多种漏洞,并存在隐瞒收集用户个人信息等行为。由于SDK市场缺乏有效的监管,其自身的安全性很难得到保证,当SDK被广泛使用到App开发中时,影响范围极广。(四)权责监管不完善,缺乏可追溯机制。移动金融App安全事件频发,相应的权责监管机制还不够完善。在法制层面,违法成本及处罚力度过低,不能引起相关主体的重视,多数金融App首次曝出问题时仅被责令限期整改、警告处罚,并未被强行要求罚款或下架处理;在技术层面,缺乏持续性、主动性的监管方式,多依靠舆论影响与开发主体自觉,来促使用户信息得到正规合理保护;在市场环境方面,移动金融App涉及开发者、金融服务主体、运营主体、安全厂商等众多环节,多方常常各自为营,涉及的主管机构权责划分不尽相同,难免出现监管盲点,让不法行为有机可乘。
四、政策引导与措施建议
(一)推进实名制备案,加强App安全监管力度。2019年9月,人总行下发的《关于金融行业标准加强移动金融客户端应用软件安全管理通知》(银发〔2019〕237号),提出了要从提升安全防护能力、加强个人信息安全保护、提高风险监测能力以及健全投诉处理机制等方面提高金融App的监督管理力度。12月,中国互联网金融协会启动了金融客户端软件备案管理,将推动App“实名制备案”成为监管常态手段,此举也将提高金融App的准入门槛,让合规的金融App可以提供更加安全的服务。(二)规范技术标准,加强个人信息保护。2020年2月,人总行印发的《个人金融信息保护技术规范》从个人金融信息全生命周期管理的角度,对强化个人金融信息风险识别和监控、保障个人金融信息主体合法权益、建立健全风险事件处置机制方面提出了要求。各金融App主体应结合这份操作指南,提升金融服务产品、用户信息传输与存储等环节的信息安全管理。(三)加大违规打击力度,保障金融消费者权益。对于移动金融App存在的安全风险问题,在加强技术标准规范、加大审核监督的基础上,仍需加大打击处罚力度。对于互联网大数据之下的金融消费者个人隐私、风险数据泄露等安全问题事件要严厉惩治,才能切实保障金融消费者的权益,倒逼开发主体加快升级安全防护技术。(四)建立协同监管体系,多途径提升治理成效。移动金融App是集传统金融业、软件开发、移动支付以及信息通信等多种业态于一身的集合体,要加强对金融App的监管,需构建行业监管、行业自律、机构自治、社会监督多层次协同配合的金融监管治理体系。同时,可通过共建安全风险预警机制,将不符合安全标准的App拉入黑名单,引导消费者提升防范意识和辨别能力,降低因使用问题App而发生安全风险的几率,提高安全问题整治成效。随着互联网技术的快速发展,移动金融App的应用场景将更加广泛,随之而来的安全问题不容忽视,监管措施还需不断强化升级。相信在各管理部门的协同监管与相关法规的严格制约下,移动金融App的准入标准将不断提高,数据信息保护措施将不断完善,从而进一步降低安全风险,促使移动金融App的应用向规范化发展。
参考文献:
[1]薛岩. 移动支付的风险及防范措施探析[J]. 金融科技时代,2019(4):52-54.
[2]爱加密. 万特互联时代,如何做好金融行业App安全防护[J]. 金融电子化,2019(7):98.
作者:李军 王金红 许倩单位:1.中国人民银行安康市中心支行 2.中国人民银行旬阳县支行
- 上一篇:金融科技人才内涵特征及能力研究
- 下一篇:地方金融标准化建设实践与思考