• 投稿
  • 移动端
    访问手机端
    官微
    访问官微
    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    65家城商行手机银行渠道监控:有银行APP版本竟是6年“陈酿”

    王超 来源:中国电子银行网 2019-07-02 02:55:09 手机银行 城商行 原创出品
    王超     来源:中国电子银行网     2019-07-02 02:55:09

    核心提示手机银行app加不加壳是个问题,新旧版本管理也是个大问题。

    business-3175110_960_720

    图片来源:Pixabay

     随着银行数字化转型的不断深入,线上运营的不断跟进,各家银行在手机银行APP方面可谓重金打造。安卓应用市场作为银行线上化发展的重要渠道,值得我们深入关注。

     CFCA移动客户端一体化风险分析及监测平台自去年8月14日发布第一期《全国65家城商行手机银行渠道监控报告》后,时隔近一年,再对全国65家城商行手机银行渠道进行了一次“深度观察”,部分结论如下:

     通过分析65家城市商业银行个人手机银行APP安卓客户端在10家应用商店的下载量和日均增长量,监测平台发现:

     不同银行在该项指标上的表现差距巨大,最高的下载量可以累计到超过3512万次,最低的下载量只有14271次,相差2500倍。去年情况是:最高的下载量可以累计超过9000万次,最低的下载量只有2000多次,相差近5万倍。

     下载量的日均增长量最高可以达到67420次,而最低的下载量日均增长量仅有6次。总下载量和日均增长量可以反映银行移动端业务的活跃程度和发展情况。

     从盗版情况看,65家城市商业银行的手机银行APP均没有出现盗版情况,表现良好。

     从安全情况分析,65家城市商业银行的APP在大多数市场中均采用了安全加固手段,但是在每个应用市场中均存在一定比例的银行上线了未加固的APK安装包。原因可能是银行在市场投放时出现了失误或者该市场的APP版本过于老旧没有及时更新成加固后的安装包,在这个问题上需要银行方面加强渠道管理和安全监管意识。

     关于APP安全加固,中国金融认证中心(CFCA)技术部总经理马春旺给出的形象说法是,安全加固类似于给APP加个防护的外壳,以减少外部攻击。

     在要不要加这个壳的问题上,银行方面多少还是有些犹豫。为什么会这样?就此,中国电子银行网采访了CFCA信息安全服务部助理总经理张大健博士。

     张大健表示,APP加固会带来安全的更高保障,但也会给APP安装包带来额外的负担,无论从APP体量和性能上都会带来一定的影响。

     比如,加固后的APP在性能和兼容性方面会比原生APP差,给客户体验带来一定的影响。虽然代码优化可以解决部分问题,但不能全部解决。他强调,安全在本质也是一种典型的工程平衡(tradeoff)选择。

     从市场投放比例方面看,上海银行、江苏银行、苏州银行等10家银行在全部10家应用商店中都上线了APP,而投放比例最低的银行只在3家应用商店中上线了APP,市场投放比例同样可以反映银行移动端业务的活跃程度和发展规模。

     在安全扫描分析方面,同一应用商店中的银行APP表现差异较大,高危权限配置最少的银行,其高危权限配置只有10个左右,而该项指标最高的银行APP,其高危权限配置数可以达到327个。

     而同一银行APP在各大主流应用商店中上线的APK包高危权限配置数基本相同,差异不大。高危权限申请和危险配置可能引起安全漏洞,建议各大银行APP尽可能减少不必要的危险权限申请和危险配置项。

     纵观10家应用市场上线的APP版本情况,65家城市商业银行的表现良莠不齐,徽商银行、宁波银行、哈尔滨银行等15家银行在其投放的应用市场没有旧版本存在,还有77%的银行在其投放的应用商店中都存在老旧版本,旧版本比例少则10%,多则66%,甚至有的银行老旧版本的上线时间较最新版本的上线时间相差6年以上。

     还有个别银行在同一家应用市场上线新版本安装包的同时没有下线旧版本安装包,而旧版本安装包上线时间甚至是6年以前的。这不仅会对用户造成误解和困惑,而且对于应用市场的老旧版本,用户下载安装后很可能出现无法使用、闪退、功能残缺等情况,用户会误认为是该银行的最新版本存在极大缺陷,从而导致用户群体流失或投诉。因此,银行应对各大应用商店的APP版本控制予以重视。

    以下是具体的监控数据情况:

    1.应用市场下载排行:江苏银行拿下多个第一

     截止于2019年6月4日,监测平台统计各家银行在各应用市场的下载量排名情况。其中江苏银行拿下了应用宝、2345手机助手、华为应用市场、百度手机助手、PP助手等多个应用市场下载量及总下载量的第一名。

     ·应用宝

    在应用宝市场中,江苏银行下载量将近500万次名列第一,中原银行和长沙银行以274万和269万次下载紧随其后,65家城市商业银行在应用宝市场中下载量最低为1204次,并且有10家银行的APP在该应用市场未投放。

     ·小米应用商店

    在小米应用商店中,北京银行评论数达到404次名列第一,江苏银行和南京银行以221次和147次分列2、3位,65家城市商业银行在小米应用商店中的评论数最低为2次,并且有24家银行在此应用市场没有投放APP。

     注:由于小米应用商店不对外公开APP的下载量,但小米应用商店作为流量较大的应用市场之一,APP在其中关注度不能忽略。因此为了体现APP在小米应用商店的用户关注度情况,我们使用APP在小米商店的用户评论数代替下载量。

     ·搜狗手机助手

    在搜狗手机助手中,中原银行以143万的下载量名列第一,贵州银行和郑州银行以37万和19万紧随其后,65家城市商业银行在搜狗手机助手下载量最低为2401次,此外,共有21家银行没有在此应用商店投放APP。

     ·2345手机助手

    在2345手机助手中,江苏银行下载量达到5.6万次名列第一,上海银行和徽商银行以4万和3.2万的下载量紧随其后,65家城市商业银行在2345手机助手的下载量最低为3214次,另有37家银行在此应用商店没有投放APP。

     ·历趣网

    在历趣网中,上海银行、兰州银行、徽商银行及郑州银行下载量达到500万次并列第一,东莞银行、乌鲁木齐银行等15家银行下载量达到100万次紧随其后,65家城市商业银行在历趣网的下载量最低为10万次,另有5家银行在此应用商店没有投放APP。

     ·华为应用市场

    在华为应用市场中,江苏银行以2400万次的下载量名列第一,第二名和第三名被宁波银行和中原银行夺得,下载量分别为1440万次和969万次,65家城市商业银行在华为应用市场的下载量最低为1万次,另有6家银行在此应用商店没有投放APP。

     ·百度手机助手

    在百度手机助手中,江苏银行下载量达到361万次夺冠,北京银行和宁波银行分别以198万次和179万次夺得第二名和第三名,65家城市商业银行在百度手机助手中的下载量最低为1057次,另有7家银行在此应用商店没有投放APP。

     ·酷安网

     

    在酷安网中,北京银行下载量达到2.6万次名列第一,江苏银行和宁波银行以2.3万和1.9万名列二三位。65家城市商业银行在酷安网下载量最低为784次,有37家银行没有在此应用市场投放APP。

     ·安智市场

    在安智市场中,江苏银行的下载量达到30万次名列第一,上海银行、北京银行和宁波银行以10万次下载量并列第二。65家城市商业银行在安智市场的下载量最低为9000次,另有14家银行在此应用商店没有投放APP。

     ·PP助手

    在PP助手中,江苏银行的下载量达到214万次名列第一,成都银行和北京银行下载量分别为112万和97万紧随其后,65家城市商业银行在PP助手中的下载量最低为1053次,并且有16家银行的APP在该应用市场中未投放。

     ·总下载量排行

    10家应用市场总下载量榜首是江苏银行,下载量累计超过3512万次,排名二三位的分别是宁波银行和中原银行,总下载量分别超过2037万次和1581万次,65家城市商业银行总下载量最低为14271次。

    2.应用市场下载日均增长量排行:北京银行总下载量日均增长量名列榜首

    2019年4月15日到2019年6月4日期间,各城商行手机银行APP在各应用市场的表现差异较大。总下载量日均增长量上,北京银行、江苏银行和宁波银行表现不俗,名列前三。

     ·应用宝

    在应用宝中,纵观2019年4月15日到2019年6月4日下载量日均增长量,包商银行以下载量日均增长1757次排名榜首,甘肃银行和长沙银行以1399次/日和1379次/日分列二三位,65家城市商业银行最低日均下载量增长量为5次/日。

     ·搜狗手机助手

    在搜狗手机助手中,纵观2019年4月15日到2019年6月4日下载量日均增长量,哈尔滨银行以日均增长7次下载位列第一,河北银行和泰隆银行分列二三位,平均每天增长量分别为6次和4次。

     ·百度手机助手

    在百度手机助手,纵观2019年4月15日到2019年6月4日的下载量日均增长量,排名第一的是上海银行,其下载量日均增长量达到2000次,桂林银行、贵州银行名列二三位,下载量日均增长量分别为1400次和1200次。

     ·华为应用市场

     在华为应用市场中,纵观2019年4月15日到2019年6月4日的下载量日均增长量,江苏银行以日均增长37200次下载名列第一,北京银行和长沙银行分列二三位,下载量日均增长量分别为29400次和19600次。

     ·2345手机助手

     在2345手机助手中,纵观2019年4月15日到2019年6月4日下载量日均增长量,青岛银行和贵州银行以日均增长20次下载并列第一,重庆银行以每日增长15次下载的成绩紧随其后。

     ·酷安网

     在酷安网中,纵观2019年4月15日到2019年6月4日下载量日均增长量,上海银行、江苏银行、徽商银行和北京银行以下载量日均增长20次并列第一名,南京银行紧随其后,下载量日均增长量为15次,65家城市商业银行最低日均下载量增长量为2次/日。

     ·总下载量日均增长量排行

     综合10家应用商店,在2019年4月15日到2019年6月4日期间,北京银行的总下载量日均增长量名列榜首,达到67420次/日,江苏银行以38788次/日的增长量紧随其后,宁波银行排名第三,下载量日均增长量为22548次/日。

    3.盗版情况:表现一如既往的好

     通过对10家应用商店上线的65家城市商业银行手机银行APP进行分析,均未发现盗版APP存在。这方面,各家银行的表现都很好,这也和各应用市场针对银行方面较为严格的审核机制有关。

    4.安全情况:总有一些不加壳的

     如前文所述,银行在APP是否加壳的态度上多少还是有些犹豫,所以各应用市场都出现不同程度的“不加壳”现象。银行作为金融业风控的重点金融服务机构,安全至关重要,但是否加壳中就是一个需要努力去权衡的事情,正如CFCA张大健博士所言,“安全在本质是一种典型的工程平衡(tradeoff)选择。”

     通过对10家应用商店上线的65家城市商业银行手机银行APP进行分析,每一家应用商店都存在APP安装包未进行安全加固的情况。具体分析如下:

    ·在应用宝中,已投放的55家城市商业银行手机银行APP中有4家银行APP未进行加固,占比7.3%;

    ·小米应用商店已投放的41家城市商业银行手机银行APP中有2家银行APP未进行加固,占比4.9%;

    ·在搜狗手机助手中,已投放的44家城市商业银行手机银行APP中有13家银行APP未进行加固,占比29.5%;

    ·在安智市场中,已投放的51家城市商业银行手机银行APP中有17家银行APP未进行加固,占比33.3%;

    ·在酷安网中,已投放的28家城市商业银行手机银行APP中有1家银行APP未进行加固,占比3.5%;

    ·在PP助手中,已投放的49家城市商业银行手机银行APP中有5家银行APP未进行加固,占比10.2%;

    ·在百度手机助手中,已投放的58家城市商业银行手机银行APP中有9家银行APP未进行加固,占比15.5%;

    ·在华为应用市场中,已投放的59家城市商业银行手机银行APP中有4家银行APP未进行加固,占比6.7%;

    ·在历趣网中,已投放的56家城市商业银行手机银行APP中有7家银行APP未进行加固,占比12.5%;

    ·在2345手机助手中,已投放的28家城市商业银行手机银行APP中有3家银行APP未进行加固,占比10.7%。

    5.版本差异情况:有银行存有6年“陈酿”的旧APP版本

     各应用市场APP版本管理是一个系统的管理内容,对用户体验有着较大的影响,特别是有银行存有6年“陈酿”的旧APP版本。但这一部分工作做起来并不轻松,特别是在版本管理不规范的情况下,要完成各版本的统一,是极为费力的。

     建议各银行积极梳理各应用市场的版本更新情况,做统一监控和跟进,及时对旧版本进行替换。

     65家城市商业银行在10家应用市场中的版本差异情况如下:

    通过分析65家城市商业银行手机银行APP在各个应用市场中的版本分布情况我们发现,有徽商银行、宁波银行、哈尔滨银行等15家银行在各自所投放的应用市场中不存在版本差异。 

    QQ截图20190702105116

     其余银行都存在上线APP非最新版本的情况,某些银行APP在个别商店所上线的版本甚至滞后6年以上,而反观65家城市商业银行在各应用市场上线版本差异比例最大的银行,其旧版本所占比例已经达到66%。

    除此之外,还存在同一家银行在同一个应用市场同时存在两个或以上版本的情况(历史版本遗留),而有些没有下线的旧版本APK和最新版本应用甚至相差6年之久,具体详情见下表。

    QQ截图20190702105129

    6.投放市场数:10家银行投满10家

     65家城市商业银行在10家应用市场的投放比例不尽相同,上海银行、江苏银行、苏州银行等10家银行在全部10家主流应用商店中都投放了APP,而投放比例最低的银行只在3家应用商店中投放了手机银行APP。

    7.安全扫描分析:高危权限配置最高达327项

     高危权限申请和危险配置可能引起安全漏洞,但各家银行对此态度松紧不一。检测平台建议,各大银行APP尽可能减少不必要的危险权限申请和危险配置项。 

     65家城市商业银行在10家应用商店投放的手机银行APP安全扫描分析结果如下:

     应用宝

     在应用宝中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:保定银行APK包的高危权限配置最少,只有10个,龙江银行和锦州银行分列二三名,高危权限配置分别为14个和16个。而反观65家城市商业银行在应用宝上线APK包高危权限配置最多的银行,其高危权限配置数达到了105个。

     小米应用商店

     在小米应用商店中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:锦州银行APK包的高危权限配置最少,只有16个,营口银行和华润银行分列二三名,高危权限配置分别为23个和24个。而反观65家城市商业银行在小米应用商店上线APK包高危权限配置最多的银行,其高危权限配置数达到了105个。

     搜狗手机助手

     在搜狗手机助手中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:华润银行APK包的高危权限配置最少,只有13个,龙江银行和温州银行并列第二名,高危权限配置均为14个。而反观65家城市商业银行在搜狗手机助手上线APK包高危权限配置最多的银行,其高危权限配置数达到了296个。

     历趣网

     在历趣网中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:保定银行APK包的高危权限配置最少,只有10个,龙江银行和九江银行并列第二名,高危权限配置均为14个。而反观65家城市商业银行在历趣网上线APK包高危权限配置最多的银行,其高危权限配置数达到了105个。

     酷安网

     在酷安网中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:贵州银行APK包的高危权限配置最少,只有27个,华润银行和天津银行分列二三名,高危权限配置分别为29个和38个。而反观65家城市商业银行在酷安网上线APK包高危权限配置最多的银行,其高危权限配置数达到了105个。

     华为应用市场

     在华为应用市场中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:锦州银行APK包的高危权限配置最少,只有16个,营口银行和大连银行并列第二名,高危权限配置均为23个。而反观65家城市商业银行在华为应用市场上线APK包高危权限配置最多的银行,其高危权限配置数达到了105个。

     安智市场

     在安智市场中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:台州银行APK包的高危权限配置最少,只有3个,保定银行和泰隆银行分列二三名,高危权限配置分别为10个和12个。而反观65家城市商业银行在安智市场上线APK包高危权限配置最多的银行,其高危权限配置数达到了103个。

     PP助手

     在PP助手中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:保定银行APK包的高危权限配置最少,只有10个,龙江银行和锦州银行分列二三名,高危权限配置分别为14个和16个。而反观65家城市商业银行在PP助手上线APK包高危权限配置最多的银行,其高危权限配置数达到了105个。

     2345手机助手

    在2345手机助手中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:龙江银行和九江银行APK包的高危权限配置最少,均只有14个,贵州银行位列第三名,高危权限配置为27个。而反观65家城市商业银行在2345手机助手上线APK包高危权限配置最多的银行,其高危权限配置数达到了84个。

     百度手机助手

    在百度手机助手中,通过分析CFCA安全检测平台扫描银行APP后的结果,我们可以看出:保定银行APK包的高危权限配置最少,只有10个,龙江银行和锦州银行分列二三名,高危权限配置分别为14个和16个。而反观65家城市商业银行在百度手机助手上线APK包高危权限配置最多的银行,其高危权限配置数达到了327个。 

    报告背景

    本次渠道监控利用CFCA移动客户端一体化风险分析及监测平台对全国65家城市商业银行手机银行在国内安卓应用市场的表现情况进行分析。

    虽然各家银行官方主页均有最新版本正版手机银行安装包下载入口,但仍然不能忽视各安卓应用市场对银行客户的流量引导作用,及时了解和掌握投放到互联网上的APP安装包在市场的情况也至关重要。另一个方面也可以了解各家安卓应用市场对于银行APP的传播力度差别。

    本次渠道监控包含全国65家城市商业银行手机银行安卓客户端,包括了北京银行、天津银行、河北银行、廊坊银行、保定银行、邢台银行、邯郸银行、晋商银行、包商银行、内蒙古银行、鄂尔多斯银行、锦州银行、营口银行、辽阳银行、龙江银行、哈尔滨银行、上海银行、江苏银行、南京银行、苏州银行、杭州银行、温州银行、稠州商业银行、台州银行、泰隆商业银行、宁波银行、徽商银行、海峡银行、泉州银行、江西银行、九江银行、齐鲁银行、潍坊银行、威海商业银行、泰安商业银行、中原银行、郑州银行、平顶山银行、湖北银行、汉口银行、长沙银行、华融湘江银行、广州银行、珠海华润银行、东莞银行、广东南粤银行、广西北部湾银行、柳州银行、桂林银行、重庆银行、成都银行、攀枝花商业银行、乐山商业银行、遂宁银行、贵州银行、贵阳银行、富滇银行、兰州银行、甘肃银行、宁夏银行、乌鲁木齐商业银行、昆仑银行、大连银行、宁波通商银行、青岛银行。

    渠道监控范围随机选取了当前规模较大的10家应用商店如下(顺序不分主次),先后在2019年4月15日和2019年6月4日分别进行两次监控: 本次监控分析将针对银行个人手机银行APP在安卓市场中的下载量排行、下载增长排行、盗版情况、安全情况、版本情况以及安全扫描分析六个方面进行分析。

     ·应用市场下载排行:截止于2019年6月4日每个应用市场各家银行APP的下载量情况进行排名以及银行的下载量总排名。

     ·应用市场下载增长排行:从2019年4月15日起,到2019年6月4日止,50天内各家银行APP下载量日均增长量在各市场排名及总排名,其中日均=(6月4日下载量—4月15日下载量)/50。

     ·盗版情况:针对各家银行在应用市场中盗版APP进行分析。

     ·安全情况:针对各家银行在应用市场中的APP是否进行了安全加固进行分析。

     ·版本情况:针对各家银行在应用市场中的APP版本情况进行分析,截止2019年6月4日,是否存在应用商店中上线的版本不是最新版本的情况。(注:在统计某一银行在各大应用商店的版本差异时,本次渠道监控采用该银行在各渠道中最晚发布的APP版本号作为最新版本进行比对) 

     ·安全扫描分析:利用CFCA移动客户端一体化风险分析及监测平台对65家城市商业银行手机银行进行安全扫描,并分析每个应用市场的银行APP高危权限配置总数和安全等级排名情况。(注:由于65家城市商业银行在各大应用商店投放的APK包均存在加固的情况,因此本次安全扫描无法从代码层面扫描出APK的高危漏洞,只能分析出高危安卓权限以及manifest高危配置项,下文的安全扫描分析结果均基于以上两项指标进行) 

     以上数据来自CFCA移动客户端一体化风险分析及监测平台

    责任编辑:王超

    收藏

    为你推荐

    收藏成功

    确定