人民網>>人民創投

金融APP越界?實測30款:有17款索取隱私權限

羅亦丹

2019年12月17日11:09  來源:新京報

近日,100款APP整改通告中多家金融機構“上榜”,讓金融機構的數據安全與個人信息保護問題引起了廣泛關注。

新京報記者採訪金融、安全行業多位圈內人士發現,隨著移動支付的發展,越來越多的金融機構將借貸、支付場景轉移到了線上,在這一過程中,許多銀行遭遇到了新麻煩,包括如何達到國家規定的安全標准、如何對抗浸淫互聯網圈已久的黑產攻擊,以及如何讓APP既實現多項業務功能,還可在個人信息保護上合規。

12月10日至16日,新京報記者下載30款排名靠前的金融類APP測試發現,金融APP超范圍索取權限問題仍然存在。30款APP中有17款APP索取了隱私權限,其中13款APP索取了位置權限。

“怎麼判斷APP的權限‘越界’,我們之前也不了解。但所有銀行自成立之初,就一直有風控部門在把關風險。隻不過,在從線下支付到移動端支付的發展過程中,我們遇到的風險形態已經發生了很大變化,金融機構在這方面的投入也逐年升高,內控、抵御黑產攻擊、信息保護合規,很多地方需要注意。”某銀行高管戴蒙(化名)告訴新京報記者。

測試30款APP:17款索取隱私權限,其中13款索取位置

金融APP近期正遭遇又一輪監管。12月初國家網絡與信息安全通報中心發布通報指出,公安機關在開展APP違法違規採集個人信息集中整治中,下架整改100款違法違規APP,其中光大銀行、天津銀行等金融類APP上榜。

對此,一位不願具名的接受整改APP的高管對新京報記者表示,“之前我們接到通知說我們的APP存在泄露客戶隱私的問題,具體問題包括隱私協議不規范和超范圍收集,但目前已經整改完了。”

12月10日至16日,新京報記者在華為應用市場隨機下載了30款排名靠前的金融類APP測試發現,若按照全國信息安全標准化技術委員會2019年8月8日發布的《信息安全技術 移動互聯網應用(APP)收集個人信息基本規范(草案)》規定的金融借貸類APP必要權限范圍,這30款APP中有25款在首次打開時超范圍申請了權限。如光大銀行申請位置權限,好分期申請通訊錄、位置,閃電借款申請位置,民貸天下申請錄音、拍照權限等。這說明,金融APP超范圍索取權限問題仍然存在。不過記者注意到,即便拒絕上述權限索取要求,這些APP仍可繼續使用。

但需要注意的是,根據《信息安全技術 移動互聯網應用(APP)收集個人信息基本規范(草案)》規定,金融借貸類APP為用戶提供從金融機構進行個人消費貸款服務,包括授信、借款、還款與交易記錄等功能(其中金融機構是指有放貸資質的銀行、消費金融公司、小貸公司等在網絡上提供借貸服務的機構)。金融借貸類APP的必要權限隻有存儲權限一個,即除了存儲權限,對其他任何權限的索取都涉嫌超限索權。

新京報記者發現,許多金融類APP除了收集必要的手機存儲權限外,往往還會收集設備信息權限,如360借條、度小滿理財等,而這也是導致眾多金融類APP涉嫌超限索權的原因。有熟悉隱私行業的專家表示,設備信息包含手機識別碼,一些基本功能如認証登錄等均需要手機識別碼的支持,此外,該項權限在互聯網廣告領域也是用來追蹤用戶的重要標識,因此眾多APP都會收集該項權限。

根據上述《規范》,相機、通訊錄、位置、麥克風、短信等權限屬於“隱私權限”范疇。新京報記者測試上述30款金融類APP發現,30款APP中有17款APP索取了隱私權限。其中位置權限被索取得最頻繁,有13家APP均索取了位置權限。

上述金融類APP均在首頁對隱私政策進行了彈窗公示,一些APP則對索取權限的理由也進行了解釋。如拉卡拉在首次安裝打開后便彈窗表示其有可能索取定位、相機權限。其中索取定位權限的目的是用位置信息評估業務風險,而相機則用於身份確認。而招商銀行則彈窗提示開啟定位權限,目的是提高查詢本地城市服務、附近優惠商戶的准確性。好分期申請了通訊錄與位置權限,其在首頁彈窗對申請權限的行為作出解釋稱,“允許訪問通訊錄可以有效提升審核效率,允許訪問位置可以提升好分期商城體驗”。

對此,金融科技專欄作家、資深觀察人士畢研廣對新京報記者表示,金融類APP正常收集個人信息,以便於風險控制、門檻設立、投資者測評等是有必要的。比如個人辦理貸款時,銀行需要掌握個人基本的身份信息、財力狀況等,至於讀取相應通訊錄信息、短信信息等則沒有必要。

超限索權、黑產、“內鬼”,銀行類APP成風險“重災區”

12月16日,戴蒙對新京報記者表示,其所在的銀行曾遭遇監管機構的整改通告,原因是其索取了用戶的通訊錄權限與位置權限。戴蒙表示,索取通訊錄權限僅是為了方便用戶向好友轉賬,而位置權限則是告知線下網店的位置。他透露,監管部門並未全面禁止不允許索取上述權限,只是一定要在隱私協議裡對索取權限的原因有所體現。

還有業內人士對新京報記者表示,其實很多銀行的APP是找外包團隊做的,“雖然在應用市場看到APP的運營商是銀行自己,但實際上做APP的另有其人。而程序員如果在做APP時‘抄了’其他APP安裝包的內容,就有可能導致權限索取的部分也一起‘抄’過來了,最后導致隱私不合規。”

根據中國信息通信研究院此前發布的《2019金融行業移動APP安全觀測報告》,在具有典型代表性的12款下載量過億的金融行業APP中,多款APP存在不同程度的超范圍索取用戶權限的情況,在隱私政策方面也存在多種違法違規行為,給用戶個人隱私信息安全帶來隱患。APP用戶的個人隱私信息一旦泄露,將帶來嚴重的后果,如騷擾電話、信息詐騙、惡意推銷、網絡情感詐騙等,會嚴重損害APP用戶的利益。

在不少安全專家看來,銀行APP裡面包含了很多重要的客戶數據,而權限索取則是獲取客戶數據的途徑之一,因此不論是出於業務考慮還是無心之失,過多收集客戶數據的同時,如果銀行的風控系統不到位,客戶信息也很容易被黑產或“內鬼”所竊取。

新京報記者查閱黑貓投訴平台關於金融消費者的投訴情況發現,客戶信息泄露成為了保險業的前三大“差評”之一,另外兩個為違規銷售和理賠難。

12月13日,奇安信集團副總裁梁志勇在接受新京報記者採訪時表示,現在數據安全事件發生的頻率越來越高,單個企業遭受的損失也越來越大。例如2017年美國的一家信用卡公司發生了1.5億張信用卡信息泄露,給民眾隱私和企業自身都帶來了很大傷害。

“數據泄露的渠道包括外部黑產攻擊以及內部威脅兩種,其中內部威脅實際上是數據安全很重要的一個場景。例如一些機構有非常有價值的數據,內部人員一般都有合法的身份,但他們若出於利益或其他目的,就會違規地使用數據,這類事件在一些有重要數據的企業裡較易發生。”梁志勇表示。

“金融機構匯聚了大量公民信息和交易數據,並且保障著社會生產秩序的有序進行。因此對於金融機構來說,首要的是保証數據不發生泄露,其次要保証金融服務的穩定性和持續性。網銀、電子支付、手機銀行也是普遍意義上金融機構易受到攻擊的應用,主要風險包括:網絡嗅探、拒絕服務、撞庫等網絡安全風險,數據防泄露、防篡改等數據安全風險以及內部數據竊取、惡意使用等業務風險。”12月16日,騰訊安全雲鼎實驗室負責人董志強對新京報記者表示。

12月11日,央行科技司司長李偉在2019年“中國金融科技全球峰會”上表示,前不久對金融類APP開展標准測評和認証后,近期注意到幾部委開展的對APP風險的整治,其中銀行類APP是風險重災區,所以將加快推進有關工作,切實防范化解風險。

“隨著互聯網金融新的發展,風險也有了新的變化和特征。2019年的政府工作報告中,未曾提及互聯網金融,卻在金融領域提及23次‘風險’問題,可見,在新時期下,互聯網金融的風險以及犯罪問題仍然是對互聯網金融關注的重點。”中南財經政法大學法治發展與司法改革研究中心教授郭澤強表示。

監管要求下 金融機構加大移動端安全投入

“一直以來,金融行業都有自身需要面對的安全問題,如盜轉、盜刷等,這些問題在移動互聯時代更加明顯。此外,金融行業是對安全級別要求最高的行業之一,從身份認証方式、國家密碼算法使用、等級保護標准等各方面都有相應的要求。因此,近幾年金融機構對業務安全的需求也逐漸增長。”12月12日,北京芯盾時代科技有限公司副總裁蔡准在接受新京報記者採訪時表示。

“越來越多銀行的業務從PC端轉移到了移動端,尤其對中小銀行來說,線下營業廳的成本相對較難負擔,因此對手機端更加看重,許多業務都轉移到線上來做了,在手機端購物和轉賬的操作也越來越多。”據蔡准介紹,芯盾時代主要的客戶群就是金融機構客戶,“我們300多個客戶裡有200多個客戶是銀行,還有不少是証券公司和保險公司。在移動應用的場景下,許多金融機構客戶需要在手機端擁有足夠安全的身份認証措施,這類認証措施在以前是U盾,但由於手機無法使用U盾,而人民銀行和銀監會對5萬以上的轉賬額度又有相應的監管文件要求,因此我們就提供了能夠符合監管要求的多因素認証產品,讓APP的支付額度能夠從幾千元提高到二三十萬。”

12月13日,奇安信集團副總裁梁志勇對新京報記者表示,信息化建設與合規需求是企業投入安全建設的兩大原因。“現在很多企業都有做大數據、雲計算的需求,而這些都附帶有安全的要求。此外,國家也提出了很多需要企業達標的硬性標准。而不同行業的企業,也需要達到各自不同的垂直性很強的行業標准,銀行、公安等系統都是如此。”

蔡准告訴記者,從2016年開始,銀監會明確發文對普通轉賬要求進行短信驗証,並要求對短信驗証進行保護。2017年則對銀行的風控系統提出了要求,這導致了2018年和2019年成為了銀行風控系統建設的高峰期。與此同時,等保2.0標准也對移動終端提出了更高的要求體系。可以看到各個機構都意識到了互聯網業務面臨的風險,需要金融機構採用對應的防控措施。

根據央行發布的“237號文”,央行對移動金融APP安全問題進行管理規范,主要從提升安全防護、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制、強化行業自律5個方面入手,並對備受關注的個人金融信息保護劃定了四大紅線。

多位金融行業受訪者對新京報記者表示,受各類標准出台的影響,金融安全需求在近幾年持續增多,金融行業不斷在安全層面加大投入。

“我們在銀行成立的第一天開始,科技部下面下設了一個獨立的大數據中心,專職做數據的平台建設工作,數據治理的工作,目前我們行裡面自己的開發人員大概200人左右,大數據開發人員佔到1/3,數據對我們來說是核心資產。此外,在信息安全上的投入,相對來說我個人認為也是比較大的,盡管現在我們全行的開發人員才200人,但是專職的信息安全人員已經20人了,風險部門還有一個專職的反欺詐的團隊,他們更多是做業務安全,我們科技這邊更多的是做信息安全,幾個不同的層次強化數據安全的保護工作。”新網銀行信息科技部負責人周勇在新京報主辦的“金融進化論:2019新京報金融科技論壇”上表示。

“前不久央行發文指導互聯網金融協會啟動了金融APP的備案管理試點工作,簡單來說,就是對金融類APP開展標准測評和認証,實施動態監測,及時處置相關風險。”央行科技司司長李偉12月11日表示,加快標准供給的同時,也在積極推進標准的落地實施,把金融科技標准實施與加強金融科技創新監管相結合,通過標准、測評和認証三個環節的工作規范金融科技創新應用,提升金融科技的監管效能。

銀行遭遇互聯網黑產 提高風控水平成課題

蔡准告訴新京報記者,安全公司為金融機構提供安全技術支持的具體方式是集成一個SDK到銀行的APP中,“我們SDK索要的權限隻要銀行APP本身要求開啟的權限即可,沒有額外要求。”

根據中國信息通信研究院發布的《2019金融行業移動APP安全觀測報告》,截至2019年9月11日,該報告團隊從232個安卓應用市場中收錄了13.33萬款金融行業APP,發現有70.22%的金融行業APP存在高危漏洞,攻擊者可利用這些漏洞竊取用戶數據、進行APP仿冒、植入惡意程序、攻擊服務等,對APP安全具有嚴重威脅。其中Top3的高危漏洞均存在導致APP數據泄露的風險。

“從銀聯卡支付到銀聯手機閃付,再到銀聯雲閃付APP以及二維碼支付,隨著時代的發展,目前風險也加速向線上移動端轉移,向支付業務全鏈條全方位滲透,由單一風險向各類風險交織並存發展,金融科技與新型風險相結合,催生團伙犯罪以及黑色產業鏈條,增大了風控的壓力。”12月14日,中國銀聯法律合規部總經理鄭曉琴在互聯網安全與刑事法制高峰論壇上稱。

那麼,金融機構面對的風險主要有哪些?

在騰訊安全雲鼎實驗室負責人董志強看來,網點時代銀行業的安全防護主要體現在業務連續性安全保障,集中在基礎環境安全、網絡連通性安全、應用安全等領域。而從網銀時代開始,防止業務攻擊和數據篡改、越權等安全防護成為了安全防護重點,同時針對普通用戶銀行賬戶的犯罪越來越多,如轉賬類詐騙、“四件套”交易等,這都需要銀行方面有更強的監管能力。

微眾銀行反欺詐負責人諸劼稱,薅羊毛對銀行和互聯網黑產來說都不是新鮮事,傳統銀行會遭遇套積分行為,互聯網黑產則會經常薅電商的優惠券。但當金融機構逐步向移動端轉移的過程中,銀行碰到互聯網黑產,就會出現問題。“銀行沒有見過這麼大的賬號群控黑產群體,而黑產則在電商外又找到一塊大蛋糕。對於銀行傳統的注冊賬戶必須手機驗証和領券必須提供有效身份証的監管機制,互聯網黑產往往可以使用大量手機號資源,接碼平台以及大量身份信息去繞過,對此銀行隻能採取新方式對抗。”

蔡准對新京報記者舉例稱,此前有一家銀行上線了其提供的風控系統后,在其APP的商城裡攔截到一些商戶的訂單。“這些商戶在該銀行APP裡出售商品時,使用同一個設備購買自己的商品‘刷單’,以這樣的方式來‘薅’銀行為商戶提供的交易補貼,該銀行此前承受了兩年的損失,採用了反欺詐系統后才發現問題。”

董志強表示,目前,隨著移動網絡時代開始,移動安全、雲安全、數據安全成為防護重點,同時語音支付、人臉支付等方面,銀行也會面臨新的威脅,比如AI偽造語音、AI偽造人臉的攻擊,如何對此類新型攻擊做到有效防護,也是需要銀行等機構進行持續性研究。

“從2015年至今,金融機構與黑產的‘戰況’一直很膠著,這是因為移動互聯領域涉及很多風險點,而且相關的技術一直在升級,道高一尺魔高一丈的事情一直在發生。銀行除了自身的風控團隊外,還需要安全技術人員的配合,未來希望有更多的法律法規出台可以保護金融機構的數據安全。”戴蒙表示。

(責編:王震、陳鍵)

深度原創

特別策劃

    第二屆內容科技大賽總決賽 人民戰“疫”內容科技大賽 首屆人民網內容科技大賽總決賽 人民網內容科技創業創新長三角決賽
二維碼