首页> 技术观点 > HOT!信用卡代还危机四伏,已遭银联“封杀令”

HOT!信用卡代还危机四伏,已遭银联“封杀令”

发布时间:2019-12-06

11月18日,中国银联下发《关于开展收单机构信用卡违规代还专项规范工作的通知》,要求各收单机构立即关停信用卡违规代还业务,明确此类业务存在巨大风险隐患,限期两周内清退完毕,从12月2日起,一经发现,从严处置。

信用卡代还主要业务模式有三种,一、“套现贷”模式:代还平台利用信用卡账单日和还款日的时差,用户只需要在信用卡中存入少量资金,代还平台循环刷取资金返给用户,从而达到全额还款的目的。二、平台代偿模式:信用卡代还平台垫付用户信用卡欠款,并取得对用户的债权,用户需定期向代还平台偿还贷款。三、信用卡套现模式:用户有多张信用卡,利用信用卡刷卡消费存在免息期的漏洞,循环刷多张卡来维持免息借款。

信用卡代还应用平台收取高利率的同时,因其掌握了用户身份证号、信用卡号、储蓄卡号等敏感信息,若遭到恶意利用或泄露,便会造成银行卡被盗刷等严重后果。爱加密大数据监管平台对此类应用进行个人信息检测发现,信用卡代还应用不仅存在获取用户身份证号、家庭住址、手机号码、个人征信等敏感信息,还存在超范围获取个人人像信息、指纹等生物信息以及住房公积金账户、社保账号、收集营业厅账号等与业务无关的敏感信息。

据全国信息安全标准化技术委员今年发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》规定,金融借贷类应用可收集的必要信息“紧急联系人信息”应采用用户手动输入的方式,不应强制读取用户通讯录,而网络支付类应用可收集的必要信息没有“联系人信息”这一项。更有甚者,通过获取营业厅账号密码读取用户手机通话详情。按照最少够用原则,包括金融借贷类、网络支付类应用在内的具备信用卡代还功能的金融类应用,均存在超范围采集个人信息现象,埋下了巨大安全隐患。

应用主体过度索权的同时,对用户个人信息保护意识堪忧。多数信用卡代还应用任意分享用户个人信息给合作机构。有的应用服务协议或隐私政策中声明,需要对用户进行催收和追索债务等工作时,不用经过用户再次授权可为催收机构等第三方提供用户身份信息、联络信息等个人敏感信息。从而导致个人信息泄露等严重后果,且协议中并未声明责任主体,存在极大的隐私信息泄露风险。

据爱加密大数据平台数据统计,信用卡代还应用达1710款。基于这1710款应用我们发现,信用卡代还应用分布在28个省份,广东及湖北两地占据半数市场。全国529个应用市场中,有103个应用市场收录有具备信用卡代还功能的应用,66.02%的应用市场收录信用卡代还应用不超过10个。通过爱加密个人信息安全检测平台对这些App进行个人信息检测后发现,大多数App存在超范围采集、过度申请权限的现象。主要检测情况如下:

 

1、安全漏洞检测情况

83.98%的信用卡代还应用(1436款)存在安全漏洞,平均每款应用存在19.3个漏洞。共计检测出55种漏洞类型,其中高危漏洞类型20种。

从高危漏洞类型来看,存在动态注册Receiver风险的应用最多,占监测总数的62.11%;其次是Janus漏洞,占监测总数的60.64%;排名第三的是WebView远程代码执行漏洞,有59.94%的应用存在该安全漏洞。

漏洞类型top10

 

2、恶意程序检测情况

有71款应用检测到恶意程序,占监测总数的4.15%,近6成分布在广东地区。从恶意程序类型来看,92.96%的病毒App存在流氓行为,这类病毒会在用户未授权的情况下,弹出广告窗口等。

 

恶意程序类型分布

3、第三方SDK嵌入情况

28.48%的信用卡代还应用嵌入第三方SDK。从SDK功能类型来看,嵌入推送功能SDK的应用最多,占嵌入SDK应用总数的62.83%;其次是统计功能,占嵌入SDK应用总数的51.33%。

 

嵌入的SDK功能类型分布

 

如今,个人信息安全已上升至国家层面,国家网络安全政策更是密集出台。爱加密长期关注我国移动应用安全问题,致力于构建以物联网和安全威胁大数据为核心的3.0生态体系。针对备受关注的个人信息安全问题,爱加密推出移动应用个人信息安全检测平台。

该平台针对个人信息安全合规问题,对移动应用提供多维度的验证。可对静态检测、动态检测过程中产生的原始数据进行分析运算,并对App隐私条款可能导致的隐私政策文本、收集使用个人信息行为、运营者对用户权利保障等30多个评估点进行检测,同时出具个人信息安全检测报告,为监管机构行政执法提供辅助依据,为企业提供App整改意见,从而推动个人信息安全的保护和建设。

 


加入收藏