受疫情影響，今年的315晚會挪到了7月16日晚上，瞬間朋友圈就被315刷屏了，被315點名的多種現象中，有幾個大家討論比較多的，其中一個就是關於APP違規收集資訊的情況，今天我們來詳細說一下~

315曝光多款APP

此次晚會中提到了手機App違規收集個人資訊問題，某些APP在後臺讀取電話號碼、通訊錄、簡訊記錄、應用列表等資訊的同時，上傳聯絡人、交易驗證碼等資料到第三方伺服器。

並且，第三方SDK除了收集使用者手機號碼、裝置資訊之外，還會收集使用者手機通訊錄、簡訊資訊、感測器資訊等使用者隱私資訊，在採集之後還會發送至指定伺服器進行儲存。

對此，工信部發布公告，立即組織北京、上海通訊管理局對涉事兩家SDK企業，北京招彩旺旺資訊科技有限公司和上海氪信資訊科技有限公司進行核查處理，對存在問題的APP第一時間啟動下架程式。並且責成阿里、騰訊、百度、華為、小米、OPPO、vivo、360等國內主要應用商店，第一時間對類似問題進行“地毯式”排查，及時發現、處理違規收集使用者個人資訊的SDK。

而此次提到的50多個違規收集資訊的App中，金融類就超過40個。

如何判定合法性？

金融APP收集資訊是否合法該如何判定？

網路安全法第41條規定，網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用資訊的目的、方式和範圍，並經被收集者同意。

因此判定金融APP資訊收集是否合法有幾個關鍵點。

1

是否明確了資訊的使用用途

比如金融機構獲取使用者資訊時，明示收集手機通訊錄資訊將被用於貸款審批及債務催收，那麼就不算非法獲取。沒有明示的情況下用於這些用途則違反了相關規定。

2

隱私協議是否合規

有些隱私協議條款暗含免除一方責任，加重對方責任，排除對方主要權利的內容，這樣的條款是無效的。

3

是否獲取本人授權

如果機構要提取或使用使用者資訊，必須獲取資訊主體本人的明確授權。

2019年，中國信通院釋出了一份《2019金融行業移動App安全觀測報告》，從金融行業 App 細分領域來看，借貸類 App 包攬前三名中的兩個席位。其中，面向個人使用者的消費金融類 App 數量最多，佔觀測總數的 36.74%；面向企業的 P2P 金融類 App 排名第三，佔觀測總數的 11.38%；彩票類App 排名第二，佔觀測總數的 27.19%。

這十幾萬金融行業APP中，除了資訊違規收集，還存在其他的一些風險，下面小金就為大家介紹一下存在比較多的風險有哪些？

金融APP中的普遍風險

1

高危漏洞

其中最典型的就是資料洩露風險，攻擊者可以利用其中的漏洞竊取使用者資料，進行 App 仿冒、植入惡意程式、攻擊服務等,對 App 安全具有嚴重威脅。

金融行業 App 中，73.23%存在不同程度的安全漏洞，70.22%存在高危漏洞。平均每款金融行業 App 存在 20.3 個安全漏洞，其中 6.7 個為高危漏洞。

網際網路第三方支付和信託類 App 的高危漏洞問題較為突出，存在高危漏洞 App 的比例 93.87%和 93.44%。保險、投資理財、外匯等分類的 App 高危漏洞問題也相對嚴重，存在高危漏洞的 App 比例超過 85%。（資料來自中國資訊通訊研究院）

2

惡意程式感染風險

主要涉及的惡意行為包括流氓行為、資訊竊取、惡意傳播、資費消耗、遠端控制等多種惡意行為，受到流氓行為惡意程式感染的 App 佔比最多，約為 82.02%。所謂流氓行為指的就是在使用者未授權的情況下，彈出廣告視窗等，不僅影響使用者使用體驗，而且如使用者誤觸點選可能帶來進一步隱私風險和安全問題。

3

使用 SDK 引入風險

在金融行業APP中，大概有超過五分之一的APP被嵌入了第三方SDK，第三方 SDK 存在隱蔽收集使用者資訊、自身安全漏洞易被不法分子利用等安全風險，而消費金融類、彩票類、P2P 金融類受到惡意程式感染的比例相對較高。

4

違規索權風險

我們上面也有提到過，有些APP的協議中隱含了超範圍索取使用者許可權的情況，App 索取使用者裝置的敏感許可權和使用者的隱私資訊，可能導致使用者裝置被植入惡意程式、使用者賬戶和隱私資訊洩露等一系列安全風險。而個人隱私資訊一旦洩露，就會隨之帶來騷擾電話、資訊詐騙、惡意推銷、網路情感詐騙等一系列風險。

全國資訊保安標準化技術委員會於 2019 年 6 月釋出的《網路安全實踐指南——移動網際網路應用基本業務功能必要資訊規範》明確規定，金融行業 App 基本業務功能收集的必要資訊包括：“手機號碼”、“賬號資訊”、“身份資訊”、“銀行賬戶資訊”、“個人徵信資訊”、“緊急聯絡人資訊”以及“借貸交易記錄”7 項內容。應用程式訪問裝置的手機功能及修改或刪除儲存卡中的內容涉嫌超範圍獲取許可權。此外，App 慣常獲取的高敏感許可權還包括：發起電話呼叫、錄製音訊、拍攝照片和錄製視訊、讀取系統日誌等。

5

安全加固不足

在去年的觀測報告中，超過80%的金融行業APP沒有進行任何的安全加固，而基於 Java 語言編寫的安卓應用程式如不進行加固，則其打包的 APK 檔案很容易被反編譯工具進行逆向分析，進而暴露風險。

使用者如何規避風險？

1

在正規應用市場下載APP

手機都有自帶的應用市場，這種安全性比較高，不要隨意點選不明連結或掃描不明二維碼通過瀏覽器進行下載。如果必須通過連結或二維碼下載，可以跟相關的開發商確認一下是否為官方APP。

2

下載前檢視軟體詳情

要確定軟體有相關的安全稽核認證，並且可以關注下相關評價，如果評分比較低就要多考慮一下。當然，評分只是一個參考，畢竟市場上惡意評分也很常見。

3

警惕“山寨”APP

如果下載使用軟體的過程中經常出現bug，漏洞較多，那就要檢查一下是否不小心下載了“山寨”APP，及時解除安裝。

4

謹慎授權

很多APP在下載註冊時要求授權多項個人資訊，使用者應當辨別要求授權的資訊是否為必要資訊，遇到非必要資訊要謹慎授權。

軟體的資訊保安問題對於每個人來說都至關重要，尤其是現在網路技術越來越發達，我們對於網路的依賴越來越高，如果資訊保安不能保證，那麼會對我們的財產安全造成極大的威脅。尤其是金融類的APP，更加需要保證資訊保安性。

有關部門加強常態化監管的同時，使用者也應該提高自身警惕，有意識的保護自己的資訊保安。另外，中國網際網路金融協會組織了金融APP備案，大家可以自行檢視，了解已經備案的APP有哪些~（點選“閱讀原文”直達檢視入口）

知識延伸——金融市場

路徑指引：

1. vx後臺回覆關鍵詞“金融市場”

2. vx後臺選單欄—金融知識—金融知識庫1-5章—金融市場

金融市場 | 債券市場

金融市場 | 股票市場

金融市場 | 金融衍生品市場

金融市場 | 外匯市場

金融市場 | 黃金市場