11月18日，中(zhōng)國(guó)银联下发《关于开展收单机构信用(yòng)卡违规代还专项规范工(gōng)作(zuò)的通知》，要求各收单机构立即关停信用(yòng)卡违规代还业務(wù)，明确此类业務(wù)存在巨大风险隐患，限期两周内清退完毕，从12月2日起，一经发现，从严处置。

信用(yòng)卡代还主要业務(wù)模式有(yǒu)三种，一、“套现贷”模式：代还平台利用(yòng)信用(yòng)卡账单日和还款日的时差，用(yòng)户只需要在信用(yòng)卡中(zhōng)存入少量资金，代还平台循环刷取资金返给用(yòng)户，从而达到全额还款的目的。二、平台代偿模式：信用(yòng)卡代还平台垫付用(yòng)户信用(yòng)卡欠款，并取得对用(yòng)户的债权，用(yòng)户需定期向代还平台偿还贷款。三、信用(yòng)卡套现模式：用(yòng)户有(yǒu)多(duō)张信用(yòng)卡，利用(yòng)信用(yòng)卡刷卡消费存在免息期的漏洞，循环刷多(duō)张卡来维持免息借款。

信用(yòng)卡代还应用(yòng)平台收取高利率的同时，因其掌握了用(yòng)户身份证号、信用(yòng)卡号、储蓄卡号等敏感信息，若遭到恶意利用(yòng)或泄露，便会造成银行卡被盗刷等严重后果。爱加密大数据监管平台对此类应用(yòng)进行个人信息检测发现，信用(yòng)卡代还应用(yòng)不仅存在获取用(yòng)户身份证号、家庭住址、手机号码、个人征信等敏感信息，还存在超范围获取个人人像信息、指纹等生物(wù)信息以及住房公(gōng)积金账户、社保账号、收集营业厅账号等与业務(wù)无关的敏感信息。

据全國(guó)信息安(ān)全标准化技(jì )术委员今年发布的《网络安(ān)全实践指南——移动互联网应用(yòng)基本业務(wù)功能(néng)必要信息规范》规定，金融借贷类应用(yòng)可(kě)收集的必要信息“紧急联系人信息”应采用(yòng)用(yòng)户手动输入的方式，不应强制读取用(yòng)户通讯录，而网络支付类应用(yòng)可(kě)收集的必要信息没有(yǒu)“联系人信息”这一项。更有(yǒu)甚者，通过获取营业厅账号密码读取用(yòng)户手机通话详情。按照最少够用(yòng)原则，包括金融借贷类、网络支付类应用(yòng)在内的具(jù)备信用(yòng)卡代还功能(néng)的金融类应用(yòng)，均存在超范围采集个人信息现象，埋下了巨大安(ān)全隐患。

应用(yòng)主體(tǐ)过度索权的同时，对用(yòng)户个人信息保护意识堪忧。多(duō)数信用(yòng)卡代还应用(yòng)任意分(fēn)享用(yòng)户个人信息给合作(zuò)机构。有(yǒu)的应用(yòng)服務(wù)协议或隐私政策中(zhōng)声明，需要对用(yòng)户进行催收和追索债務(wù)等工(gōng)作(zuò)时，不用(yòng)经过用(yòng)户再次授权可(kě)為(wèi)催收机构等第三方提供用(yòng)户身份信息、联络信息等个人敏感信息。从而导致个人信息泄露等严重后果，且协议中(zhōng)并未声明责任主體(tǐ)，存在极大的隐私信息泄露风险。

据爱加密大数据平台数据统计，信用(yòng)卡代还应用(yòng)达1710款。基于这1710款应用(yòng)我们发现，信用(yòng)卡代还应用(yòng)分(fēn)布在28个省份，广东及湖(hú)北两地占据半数市场。全國(guó)529个应用(yòng)市场中(zhōng)，有(yǒu)103个应用(yòng)市场收录有(yǒu)具(jù)备信用(yòng)卡代还功能(néng)的应用(yòng)，66.02%的应用(yòng)市场收录信用(yòng)卡代还应用(yòng)不超过10个。通过爱加密个人信息安(ān)全检测平台对这些App进行个人信息检测后发现，大多(duō)数App存在超范围采集、过度申请权限的现象。主要检测情况如下：

1、安(ān)全漏洞检测情况

83.98%的信用(yòng)卡代还应用(yòng)（1436款）存在安(ān)全漏洞，平均每款应用(yòng)存在19.3个漏洞。共计检测出55种漏洞类型，其中(zhōng)高危漏洞类型20种。

从高危漏洞类型来看，存在动态注册Receiver风险的应用(yòng)最多(duō)，占监测总数的62.11%；其次是Janus漏洞，占监测总数的60.64%；排名(míng)第三的是WebView遠(yuǎn)程代码执行漏洞，有(yǒu)59.94%的应用(yòng)存在该安(ān)全漏洞。

漏洞类型top10

2、恶意程序检测情况

有(yǒu)71款应用(yòng)检测到恶意程序，占监测总数的4.15%，近6成分(fēn)布在广东地區(qū)。从恶意程序类型来看，92.96%的病毒App存在流氓行為(wèi)，这类病毒会在用(yòng)户未授权的情况下，弹出广告窗口等。

恶意程序类型分(fēn)布

3、第三方SDK嵌入情况

28.48%的信用(yòng)卡代还应用(yòng)嵌入第三方SDK。从SDK功能(néng)类型来看，嵌入推送功能(néng)SDK的应用(yòng)最多(duō)，占嵌入SDK应用(yòng)总数的62.83%；其次是统计功能(néng)，占嵌入SDK应用(yòng)总数的51.33%。

嵌入的SDK功能(néng)类型分(fēn)布

如今，个人信息安(ān)全已上升至國(guó)家层面，國(guó)家网络安(ān)全政策更是密集出台。爱加密長(cháng)期关注我國(guó)移动应用(yòng)安(ān)全问题，致力于构建以物(wù)联网和安(ān)全威胁大数据為(wèi)核心的3.0生态體(tǐ)系。针对备受关注的个人信息安(ān)全问题，爱加密推出移动应用(yòng)个人信息安(ān)全检测平台。

该平台针对个人信息安(ān)全合规问题，对移动应用(yòng)提供多(duō)维度的验证。可(kě)对静态检测、动态检测过程中(zhōng)产(chǎn)生的原始数据进行分(fēn)析运算，并对App隐私条款可(kě)能(néng)导致的隐私政策文(wén)本、收集使用(yòng)个人信息行為(wèi)、运营者对用(yòng)户权利保障等30多(duō)个评估点进行检测，同时出具(jù)个人信息安(ān)全检测报告，為(wèi)监管机构行政执法提供辅助依据，為(wèi)企业提供App整改意见，从而推动个人信息安(ān)全的保护和建设。