圖片來源：Pixabay

 隨著銀行數字化轉型的不斷深入，線上運營的不斷跟進，各家銀行在手機銀行APP方面可謂重金打造。安卓應用市場作為銀行線上化發展的重要渠道，值得我們深入關注。

 CFCA移動客戶端一體化風險分析及監測平臺自去年8月14日發布第一期《全國65家城商行手機銀行渠道監控報告》后，時隔近一年，再對全國65家城商行手機銀行渠道進行了一次“深度觀察”，部分結論如下：

 通過分析65家城市商業銀行個人手機銀行APP安卓客戶端在10家應用商店的下載量和日均增長量，監測平臺發現：

 不同銀行在該項指標上的表現差距巨大，最高的下載量可以累計到超過3512萬次，最低的下載量只有14271次，相差2500倍。去年情況是：最高的下載量可以累計超過9000萬次，最低的下載量只有2000多次，相差近5萬倍。

 下載量的日均增長量最高可以達到67420次，而最低的下載量日均增長量僅有6次?？傁螺d量和日均增長量可以反映銀行移動端業務的活躍程度和發展情況。

 從盜版情況看，65家城市商業銀行的手機銀行APP均沒有出現盜版情況，表現良好。

 從安全情況分析，65家城市商業銀行的APP在大多數市場中均采用了安全加固手段，但是在每個應用市場中均存在一定比例的銀行上線了未加固的APK安裝包。原因可能是銀行在市場投放時出現了失誤或者該市場的APP版本過于老舊沒有及時更新成加固后的安裝包，在這個問題上需要銀行方面加強渠道管理和安全監管意識。

 關于APP安全加固，中國金融認證中心（CFCA）技術部總經理馬春旺給出的形象說法是，安全加固類似于給APP加個防護的外殼，以減少外部攻擊。

 在要不要加這個殼的問題上，銀行方面多少還是有些猶豫。為什么會這樣？就此，中國電子銀行網采訪了CFCA信息安全服務部助理總經理張大健博士。

 張大健表示，APP加固會帶來安全的更高保障，但也會給APP安裝包帶來額外的負擔，無論從APP體量和性能上都會帶來一定的影響。

 比如，加固后的APP在性能和兼容性方面會比原生APP差，給客戶體驗帶來一定的影響。雖然代碼優化可以解決部分問題，但不能全部解決。他強調，安全在本質也是一種典型的工程平衡(tradeoff)選擇。

 從市場投放比例方面看，上海銀行、江蘇銀行、蘇州銀行等10家銀行在全部10家應用商店中都上線了APP，而投放比例最低的銀行只在3家應用商店中上線了APP，市場投放比例同樣可以反映銀行移動端業務的活躍程度和發展規模。

 在安全掃描分析方面，同一應用商店中的銀行APP表現差異較大，高危權限配置最少的銀行，其高危權限配置只有10個左右，而該項指標最高的銀行APP，其高危權限配置數可以達到327個。

 而同一銀行APP在各大主流應用商店中上線的APK包高危權限配置數基本相同，差異不大。高危權限申請和危險配置可能引起安全漏洞，建議各大銀行APP盡可能減少不必要的危險權限申請和危險配置項。

 縱觀10家應用市場上線的APP版本情況，65家城市商業銀行的表現良莠不齊，徽商銀行、寧波銀行、哈爾濱銀行等15家銀行在其投放的應用市場沒有舊版本存在，還有77%的銀行在其投放的應用商店中都存在老舊版本，舊版本比例少則10%，多則66%，甚至有的銀行老舊版本的上線時間較最新版本的上線時間相差6年以上。

 還有個別銀行在同一家應用市場上線新版本安裝包的同時沒有下線舊版本安裝包，而舊版本安裝包上線時間甚至是6年以前的。這不僅會對用戶造成誤解和困惑，而且對于應用市場的老舊版本，用戶下載安裝后很可能出現無法使用、閃退、功能殘缺等情況，用戶會誤認為是該銀行的最新版本存在極大缺陷，從而導致用戶群體流失或投訴。因此，銀行應對各大應用商店的APP版本控制予以重視。

以下是具體的監控數據情況：

1.應用市場下載排行：江蘇銀行拿下多個第一

 截止于2019年6月4日，監測平臺統計各家銀行在各應用市場的下載量排名情況。其中江蘇銀行拿下了應用寶、2345手機助手、華為應用市場、百度手機助手、PP助手等多個應用市場下載量及總下載量的第一名。

 ·應用寶

在應用寶市場中，江蘇銀行下載量將近500萬次名列第一，中原銀行和長沙銀行以274萬和269萬次下載緊隨其后，65家城市商業銀行在應用寶市場中下載量最低為1204次，并且有10家銀行的APP在該應用市場未投放。

 ·小米應用商店

在小米應用商店中，北京銀行評論數達到404次名列第一，江蘇銀行和南京銀行以221次和147次分列2、3位，65家城市商業銀行在小米應用商店中的評論數最低為2次，并且有24家銀行在此應用市場沒有投放APP。

 注：由于小米應用商店不對外公開APP的下載量，但小米應用商店作為流量較大的應用市場之一，APP在其中關注度不能忽略。因此為了體現APP在小米應用商店的用戶關注度情況，我們使用APP在小米商店的用戶評論數代替下載量。

 ·搜狗手機助手

在搜狗手機助手中，中原銀行以143萬的下載量名列第一，貴州銀行和鄭州銀行以37萬和19萬緊隨其后，65家城市商業銀行在搜狗手機助手下載量最低為2401次，此外，共有21家銀行沒有在此應用商店投放APP。

 ·2345手機助手

在2345手機助手中，江蘇銀行下載量達到5.6萬次名列第一，上海銀行和徽商銀行以4萬和3.2萬的下載量緊隨其后，65家城市商業銀行在2345手機助手的下載量最低為3214次，另有37家銀行在此應用商店沒有投放APP。

 ·歷趣網

在歷趣網中，上海銀行、蘭州銀行、徽商銀行及鄭州銀行下載量達到500萬次并列第一，東莞銀行、烏魯木齊銀行等15家銀行下載量達到100萬次緊隨其后，65家城市商業銀行在歷趣網的下載量最低為10萬次，另有5家銀行在此應用商店沒有投放APP。

 ·華為應用市場

在華為應用市場中，江蘇銀行以2400萬次的下載量名列第一，第二名和第三名被寧波銀行和中原銀行奪得，下載量分別為1440萬次和969萬次，65家城市商業銀行在華為應用市場的下載量最低為1萬次，另有6家銀行在此應用商店沒有投放APP。

 ·百度手機助手

在百度手機助手中，江蘇銀行下載量達到361萬次奪冠，北京銀行和寧波銀行分別以198萬次和179萬次奪得第二名和第三名，65家城市商業銀行在百度手機助手中的下載量最低為1057次，另有7家銀行在此應用商店沒有投放APP。

 ·酷安網

在酷安網中，北京銀行下載量達到2.6萬次名列第一，江蘇銀行和寧波銀行以2.3萬和1.9萬名列二三位。65家城市商業銀行在酷安網下載量最低為784次，有37家銀行沒有在此應用市場投放APP。

 ·安智市場

在安智市場中，江蘇銀行的下載量達到30萬次名列第一，上海銀行、北京銀行和寧波銀行以10萬次下載量并列第二。65家城市商業銀行在安智市場的下載量最低為9000次，另有14家銀行在此應用商店沒有投放APP。

 ·PP助手

在PP助手中，江蘇銀行的下載量達到214萬次名列第一，成都銀行和北京銀行下載量分別為112萬和97萬緊隨其后，65家城市商業銀行在PP助手中的下載量最低為1053次，并且有16家銀行的APP在該應用市場中未投放。

 ·總下載量排行

10家應用市場總下載量榜首是江蘇銀行，下載量累計超過3512萬次，排名二三位的分別是寧波銀行和中原銀行，總下載量分別超過2037萬次和1581萬次，65家城市商業銀行總下載量最低為14271次。

2.應用市場下載日均增長量排行：北京銀行總下載量日均增長量名列榜首

2019年4月15日到2019年6月4日期間，各城商行手機銀行APP在各應用市場的表現差異較大?？傁螺d量日均增長量上，北京銀行、江蘇銀行和寧波銀行表現不俗，名列前三。

 ·應用寶

在應用寶中，縱觀2019年4月15日到2019年6月4日下載量日均增長量，包商銀行以下載量日均增長1757次排名榜首，甘肅銀行和長沙銀行以1399次/日和1379次/日分列二三位，65家城市商業銀行最低日均下載量增長量為5次/日。

 ·搜狗手機助手

在搜狗手機助手中，縱觀2019年4月15日到2019年6月4日下載量日均增長量，哈爾濱銀行以日均增長7次下載位列第一，河北銀行和泰隆銀行分列二三位，平均每天增長量分別為6次和4次。

 ·百度手機助手

在百度手機助手，縱觀2019年4月15日到2019年6月4日的下載量日均增長量，排名第一的是上海銀行，其下載量日均增長量達到2000次，桂林銀行、貴州銀行名列二三位，下載量日均增長量分別為1400次和1200次。

 ·華為應用市場

 在華為應用市場中，縱觀2019年4月15日到2019年6月4日的下載量日均增長量，江蘇銀行以日均增長37200次下載名列第一，北京銀行和長沙銀行分列二三位，下載量日均增長量分別為29400次和19600次。

 ·2345手機助手

 在2345手機助手中，縱觀2019年4月15日到2019年6月4日下載量日均增長量，青島銀行和貴州銀行以日均增長20次下載并列第一，重慶銀行以每日增長15次下載的成績緊隨其后。

 ·酷安網

 在酷安網中，縱觀2019年4月15日到2019年6月4日下載量日均增長量，上海銀行、江蘇銀行、徽商銀行和北京銀行以下載量日均增長20次并列第一名，南京銀行緊隨其后，下載量日均增長量為15次，65家城市商業銀行最低日均下載量增長量為2次/日。

 ·總下載量日均增長量排行

 綜合10家應用商店，在2019年4月15日到2019年6月4日期間，北京銀行的總下載量日均增長量名列榜首，達到67420次/日，江蘇銀行以38788次/日的增長量緊隨其后，寧波銀行排名第三，下載量日均增長量為22548次/日。

3.盜版情況：表現一如既往的好

 通過對10家應用商店上線的65家城市商業銀行手機銀行APP進行分析，均未發現盜版APP存在。這方面，各家銀行的表現都很好，這也和各應用市場針對銀行方面較為嚴格的審核機制有關。

4.安全情況：總有一些不加殼的

 如前文所述，銀行在APP是否加殼的態度上多少還是有些猶豫，所以各應用市場都出現不同程度的“不加殼”現象。銀行作為金融業風控的重點金融服務機構，安全至關重要，但是否加殼中就是一個需要努力去權衡的事情，正如CFCA張大健博士所言，“安全在本質是一種典型的工程平衡(tradeoff)選擇?！?/p>

 通過對10家應用商店上線的65家城市商業銀行手機銀行APP進行分析，每一家應用商店都存在APP安裝包未進行安全加固的情況。具體分析如下：

·在應用寶中，已投放的55家城市商業銀行手機銀行APP中有4家銀行APP未進行加固，占比7.3%；

·小米應用商店已投放的41家城市商業銀行手機銀行APP中有2家銀行APP未進行加固，占比4.9%；

·在搜狗手機助手中，已投放的44家城市商業銀行手機銀行APP中有13家銀行APP未進行加固，占比29.5%；

·在安智市場中，已投放的51家城市商業銀行手機銀行APP中有17家銀行APP未進行加固，占比33.3%；

·在酷安網中，已投放的28家城市商業銀行手機銀行APP中有1家銀行APP未進行加固，占比3.5%；

·在PP助手中，已投放的49家城市商業銀行手機銀行APP中有5家銀行APP未進行加固，占比10.2%；

·在百度手機助手中，已投放的58家城市商業銀行手機銀行APP中有9家銀行APP未進行加固，占比15.5%；

·在華為應用市場中，已投放的59家城市商業銀行手機銀行APP中有4家銀行APP未進行加固，占比6.7%；

·在歷趣網中，已投放的56家城市商業銀行手機銀行APP中有7家銀行APP未進行加固，占比12.5%；

·在2345手機助手中，已投放的28家城市商業銀行手機銀行APP中有3家銀行APP未進行加固，占比10.7%。

5.版本差異情況：有銀行存有6年“陳釀”的舊APP版本

 各應用市場APP版本管理是一個系統的管理內容，對用戶體驗有著較大的影響，特別是有銀行存有6年“陳釀”的舊APP版本。但這一部分工作做起來并不輕松，特別是在版本管理不規范的情況下，要完成各版本的統一，是極為費力的。

 建議各銀行積極梳理各應用市場的版本更新情況，做統一監控和跟進，及時對舊版本進行替換。

 65家城市商業銀行在10家應用市場中的版本差異情況如下：

通過分析65家城市商業銀行手機銀行APP在各個應用市場中的版本分布情況我們發現，有徽商銀行、寧波銀行、哈爾濱銀行等15家銀行在各自所投放的應用市場中不存在版本差異。 

 其余銀行都存在上線APP非最新版本的情況，某些銀行APP在個別商店所上線的版本甚至滯后6年以上，而反觀65家城市商業銀行在各應用市場上線版本差異比例最大的銀行，其舊版本所占比例已經達到66%。

除此之外，還存在同一家銀行在同一個應用市場同時存在兩個或以上版本的情況（歷史版本遺留），而有些沒有下線的舊版本APK和最新版本應用甚至相差6年之久，具體詳情見下表。

6.投放市場數：10家銀行投滿10家

 65家城市商業銀行在10家應用市場的投放比例不盡相同，上海銀行、江蘇銀行、蘇州銀行等10家銀行在全部10家主流應用商店中都投放了APP，而投放比例最低的銀行只在3家應用商店中投放了手機銀行APP。

7.安全掃描分析：高危權限配置最高達327項

 高危權限申請和危險配置可能引起安全漏洞，但各家銀行對此態度松緊不一。檢測平臺建議，各大銀行APP盡可能減少不必要的危險權限申請和危險配置項。 

 65家城市商業銀行在10家應用商店投放的手機銀行APP安全掃描分析結果如下：

 應用寶

 在應用寶中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：保定銀行APK包的高危權限配置最少，只有10個，龍江銀行和錦州銀行分列二三名，高危權限配置分別為14個和16個。而反觀65家城市商業銀行在應用寶上線APK包高危權限配置最多的銀行，其高危權限配置數達到了105個。

 小米應用商店

 在小米應用商店中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：錦州銀行APK包的高危權限配置最少，只有16個，營口銀行和華潤銀行分列二三名，高危權限配置分別為23個和24個。而反觀65家城市商業銀行在小米應用商店上線APK包高危權限配置最多的銀行，其高危權限配置數達到了105個。

 搜狗手機助手

 在搜狗手機助手中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：華潤銀行APK包的高危權限配置最少，只有13個，龍江銀行和溫州銀行并列第二名，高危權限配置均為14個。而反觀65家城市商業銀行在搜狗手機助手上線APK包高危權限配置最多的銀行，其高危權限配置數達到了296個。

 歷趣網

 在歷趣網中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：保定銀行APK包的高危權限配置最少，只有10個，龍江銀行和九江銀行并列第二名，高危權限配置均為14個。而反觀65家城市商業銀行在歷趣網上線APK包高危權限配置最多的銀行，其高危權限配置數達到了105個。

 酷安網

 在酷安網中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：貴州銀行APK包的高危權限配置最少，只有27個，華潤銀行和天津銀行分列二三名，高危權限配置分別為29個和38個。而反觀65家城市商業銀行在酷安網上線APK包高危權限配置最多的銀行，其高危權限配置數達到了105個。

 華為應用市場

 在華為應用市場中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：錦州銀行APK包的高危權限配置最少，只有16個，營口銀行和大連銀行并列第二名，高危權限配置均為23個。而反觀65家城市商業銀行在華為應用市場上線APK包高危權限配置最多的銀行，其高危權限配置數達到了105個。

 安智市場

 在安智市場中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：臺州銀行APK包的高危權限配置最少，只有3個，保定銀行和泰隆銀行分列二三名，高危權限配置分別為10個和12個。而反觀65家城市商業銀行在安智市場上線APK包高危權限配置最多的銀行，其高危權限配置數達到了103個。

 PP助手

 在PP助手中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：保定銀行APK包的高危權限配置最少，只有10個，龍江銀行和錦州銀行分列二三名，高危權限配置分別為14個和16個。而反觀65家城市商業銀行在PP助手上線APK包高危權限配置最多的銀行，其高危權限配置數達到了105個。

 2345手機助手

在2345手機助手中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：龍江銀行和九江銀行APK包的高危權限配置最少，均只有14個，貴州銀行位列第三名，高危權限配置為27個。而反觀65家城市商業銀行在2345手機助手上線APK包高危權限配置最多的銀行，其高危權限配置數達到了84個。

 百度手機助手

在百度手機助手中，通過分析CFCA安全檢測平臺掃描銀行APP后的結果，我們可以看出：保定銀行APK包的高危權限配置最少，只有10個，龍江銀行和錦州銀行分列二三名，高危權限配置分別為14個和16個。而反觀65家城市商業銀行在百度手機助手上線APK包高危權限配置最多的銀行，其高危權限配置數達到了327個。 

報告背景

本次渠道監控利用CFCA移動客戶端一體化風險分析及監測平臺對全國65家城市商業銀行手機銀行在國內安卓應用市場的表現情況進行分析。

雖然各家銀行官方主頁均有最新版本正版手機銀行安裝包下載入口，但仍然不能忽視各安卓應用市場對銀行客戶的流量引導作用，及時了解和掌握投放到互聯網上的APP安裝包在市場的情況也至關重要。另一個方面也可以了解各家安卓應用市場對于銀行APP的傳播力度差別。

本次渠道監控包含全國65家城市商業銀行手機銀行安卓客戶端，包括了北京銀行、天津銀行、河北銀行、廊坊銀行、保定銀行、邢臺銀行、邯鄲銀行、晉商銀行、包商銀行、內蒙古銀行、鄂爾多斯銀行、錦州銀行、營口銀行、遼陽銀行、龍江銀行、哈爾濱銀行、上海銀行、江蘇銀行、南京銀行、蘇州銀行、杭州銀行、溫州銀行、稠州商業銀行、臺州銀行、泰隆商業銀行、寧波銀行、徽商銀行、海峽銀行、泉州銀行、江西銀行、九江銀行、齊魯銀行、濰坊銀行、威海商業銀行、泰安商業銀行、中原銀行、鄭州銀行、平頂山銀行、湖北銀行、漢口銀行、長沙銀行、華融湘江銀行、廣州銀行、珠海華潤銀行、東莞銀行、廣東南粵銀行、廣西北部灣銀行、柳州銀行、桂林銀行、重慶銀行、成都銀行、攀枝花商業銀行、樂山商業銀行、遂寧銀行、貴州銀行、貴陽銀行、富滇銀行、蘭州銀行、甘肅銀行、寧夏銀行、烏魯木齊商業銀行、昆侖銀行、大連銀行、寧波通商銀行、青島銀行。

渠道監控范圍隨機選取了當前規模較大的10家應用商店如下（順序不分主次），先后在2019年4月15日和2019年6月4日分別進行兩次監控： 本次監控分析將針對銀行個人手機銀行APP在安卓市場中的下載量排行、下載增長排行、盜版情況、安全情況、版本情況以及安全掃描分析六個方面進行分析。

 ·應用市場下載排行：截止于2019年6月4日每個應用市場各家銀行APP的下載量情況進行排名以及銀行的下載量總排名。

 ·應用市場下載增長排行：從2019年4月15日起，到2019年6月4日止，50天內各家銀行APP下載量日均增長量在各市場排名及總排名，其中日均=（6月4日下載量—4月15日下載量）/50。

 ·盜版情況：針對各家銀行在應用市場中盜版APP進行分析。

 ·安全情況：針對各家銀行在應用市場中的APP是否進行了安全加固進行分析。

 ·版本情況：針對各家銀行在應用市場中的APP版本情況進行分析，截止2019年6月4日，是否存在應用商店中上線的版本不是最新版本的情況。（注：在統計某一銀行在各大應用商店的版本差異時，本次渠道監控采用該銀行在各渠道中最晚發布的APP版本號作為最新版本進行比對） 

 ·安全掃描分析：利用CFCA移動客戶端一體化風險分析及監測平臺對65家城市商業銀行手機銀行進行安全掃描，并分析每個應用市場的銀行APP高危權限配置總數和安全等級排名情況。（注：由于65家城市商業銀行在各大應用商店投放的APK包均存在加固的情況，因此本次安全掃描無法從代碼層面掃描出APK的高危漏洞，只能分析出高危安卓權限以及manifest高危配置項，下文的安全掃描分析結果均基于以上兩項指標進行） 

 以上數據來自CFCA移動客戶端一體化風險分析及監測平臺

責任編輯：王超