中国网络安全产业联盟会员单位-爱加密:发布第一季度《全国移动APP安全性研究报告》

2019-05-08

       据统计,每年至少新增150种移动恶意软件,至少造成超过1600万件的移动恶意软件攻击事件。爱加密持续关注我国移动应用安全问题,专注于构建移动应用安全生态圈。通过移动应用大数据平台,为政府和企业客户提供移动安全报告的数据支撑,协助其对移动应用安全事件进行监测并协调处置。

       爱加密全国移动APP安全性研究报告,旨在让移动手机用户了解APP风险隐患对个人隐私信息及资金安全等方面所造成的威胁,提高其安全防范意识。通过对App违法违规收集使用个人信息行为的通报,协同有关主管部门、APP供应商、APP提供商等,共同营造安全的移动应用环境,促进网络安全的规范化、安全化、健康化发展。



全国移动APP概况


       根据爱加密大数据中心提供的数据,截止3月底大数据中心已收录Android app应用270多万个,IOS应用190多万个,其中50%以上的APP都存在漏洞威胁,5.24%的APP存在病毒,30%以上的APP存在不同程度的越权、超范围收集等违规行为。

       (一)广北上APP产量高。

      从APP分布区域来看,广东省APP数量位居第一,约占APP总量的23.58%;其次是北京市,约占总量的22.50%,排名第三的是上海市,约占总量的12.72%。


        (二)游戏娱乐行业APP数量最多、安全性最差。

       游戏娱乐类APP 53万,约占总量的20%,存在高风险漏洞最多,在所有app中相对最不安全。金融理财类APP位居第二,有26万,约占总量的10%。教育培训类APP排名第三,有13万,约占总量的5%。


图 2  行业信息分布图

       (三)十大市场包揽五成以上APP,福建拥有应用市场公司最多。

       从应用市场拥有APP数量来看,目前上线的APP市场有500 ,其中豌豆荚、360市场、应用宝占据应用市场排名前三甲。


图3  应用市场统计图

       从应用市场公司主体所属区域来看,福建省APP应用商店最多,占总量的16.47%,如“好卓市场”、“手机 玩”、“最笨下载”等应用市场的所属公司都在福建省,其次是湖北省和北京市的应用市场公司数量较多,分别占总量的16.06%和13.25%。


图4  应用市场区域分布图


移动APP漏洞情况分析

       (一)约70%的APP都或多或少存在安全漏洞。

       爱加密移动应用安全平台扫描了270多万个APP,其中,有漏洞的APP约183万个,占监测总数的67.77%。排名前三的漏洞分别是:Janus漏洞、未移除风险的WebView系统隐藏接口漏洞、截屏攻击风险漏洞。

图5   漏洞APP数量统计图


       (二)约70%的APP都存在高危漏洞。

       约181万个APP存在高危漏洞,占监测总数的67.04%。2%的APP存在20个以上高危漏洞,19%的APP存在10-20个高危漏洞, 79%的APP存在10个以下的高危漏洞。

       从APP漏洞种类来看,存在Janus高危漏洞的APP数量最多,占监测总数的66.67%;其次是Java代码未加壳漏洞,占监测总数的57.19%;排在第三位的是WebView明文存储密码漏洞,占监测总数的48.69%。

图6   高危漏洞统计图


       Janus漏洞主要威胁是可以绕过了安卓系统的整个安全机制,可以盗取用户的账户、密码等敏感信息,甚至可以植入木马病毒,属于高危漏洞。

       Java文件未进行加壳保护,主要威胁是可能被反编译,易导致代码逻辑泄露、重要数据加密代码逻辑泄露等,属于高危漏洞。

       WebView明文存储密码漏洞,主要威胁是用户保存在WebView中的密码,会被明文保存到应用数据目录中,可能会被攻击者窃取本地明文存储的用户名和密码。

      (三)游戏娱乐类APP相对安全性较差。

       从APP类别来看,存在漏洞的所有APP中,游戏娱乐类最多,占16.0%,其次为金融理财类,占14.2%,教育培训排名第三,占12.9%。

       从各类APP中含有的高风险漏洞来看,67.04%的移动APP存在高危安全漏洞。其中,游戏娱乐类APP含有高风险漏洞的比例最高,占游戏娱乐类APP总量的75.9%;其次为新闻资讯类APP,占新闻资讯类APP总量的63.6%,教育培训排名第三,占教育培训类APP总量的42.9%。

      (四)APP漏洞主要分布区域。

      从漏洞的区域分布来看,北上广占比较高,其中广东省存在漏洞应用数量占总量的19.08%,其次是北京市,占总量的18.21%,排名第三的是上海市,占总量的10.29%。


图7   漏洞区域分布情况


移动APP病毒情况分析


       (一)每100个应用中至少有5个应用存在病毒。

       通过爱加密安全平台对APP进行病毒扫描,截止目前,已完成病毒扫描的APP中有14.19万款APP存在病毒,病毒率高达5.24%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。

       (二)93%以上的病毒存在流氓行为。

       从病毒分类来看,93.96%的病毒存在流氓行为,这类病毒会造成“广告推送”、“隐私信息监控”、“流量或资金消耗”等危害;1.79%的病毒存在隐私窃取,这类病毒会造成短信、GPS定位、联系人信息等敏感信息被窃取;1.09%的病毒存在恶意扣费,这类病毒会使用户话费激增,造成经济损失。

图8  病毒类型统计表


       (三)病毒APP主要分布区域。

       从病毒APP分布区域来看,广东省占病毒APP总量27.33%,其次是浙江省,占病毒APP总量10.49%,最后是北京市,占病毒APP总量10.23%。


图9   病毒区域分布图

       (四)七成以上的应用商店都存在病毒APP。

       本次扫描监测的应用商店,其中多达185家都存在涉及病毒的APP,这其中包括有大量用户及下载量的主流应用商店。此外需要引起关注的是,一些小的应用商店,APP总量不多但存在病毒的APP占比较高。


移动应用高危风险分析

       (一)不可忽视的隐私条款。

       随着APP应用的发展,越来越多的APP打着服务用户的旗号获取大量的用户隐私信息,部分APP在使用用户隐私权限时根本不提供隐私条款,部分APP即使有隐私条款,也是和实际采集的用户信息不匹配的。大量APP存在过度采集信息即不是他们提供服务时应获取的信息,以及大量APP在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。用户隐私信息正面临安全的挑战。

       案例:这是某金融服务APP提供给用户的隐私条款部分截图,你可能很难认真去阅读这些条款,一般都会直接选择同意,但是你可能不知道,你点击同意后,就表示你已经阅读并接受这个条款里的所有内容,比如有一条关于你信息共享问题的条款:“我们会与我们的供应商、服务提供商、顾问或代理人共享您的个人信息,以提供更好的用户体验”。意思就是你点击同意这个条款,那么你的个人信息就可能会被第三方获取。

       不知道你是否留意,图里还有这样一句:“除非得到您的允许 ,否则我们不会将你的个人信息提供给广告合作、分析服务合作伙伴”,这下你应该明白为什么前两天你刚跟朋友提起你想买个智能音箱,第二天就能收到关于智能音箱的各种广告推送。

图10   个人隐私条款截图1


       (二)个人隐私风险。

       随着移动应用的迅猛发展,人们对于移动应用涉及个人信息的隐私性日益关注。移动应用涵盖用户大量个人隐私性数据,一旦发生泄漏可能对个人、社会造成重大影响,同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用应该有效的保障用户的账号密码和个人信息数据安全,保护用户的个人隐私。如何保障移动应用的数据安全和数据隐私,成为了国内外移动应用安全技术亟待解决的问题。

       案例1:在今年3.15几天爆出,某知名SDK供应商利用向各大应用公司提供SDK服务的便利,大量获取用户信息。窃取数据的程序名为“SWAnalytics”,存在于应用的SDK模块当中。当用户安装并打开受感染的应用,或者重启了设备,SWAnalytics便会自动读取用户的通讯录,并上传至远程的服务器。据相关数据统计,此次信息盗取事件中受感染的应用程序下载量至少有1.11亿次,可见涉及面之广。

       案例2:某电商APP正通过后台程序收集用户的地址、电话等个人信息。


图11  电商收集用户信息截图

        案例3:某游戏应用正在通过后台程序获取用户的手机信息。


图12   请求品牌、手机型号、IMEI、系统版本等信息


图13   获取IMEI号代码


图14   获取手机MAC地址 

图15   获取手机型号与品牌

图16   获取系統版本地址


总结


        一、移动应用安全问题决定着移动应用产业的未来

       在移动互联网火热发展的时代,移动APP无处不在,购物、音乐、学习、理财、社交、娱乐等等。据调查报告显示,目前移动APP安全市场缺口大,主要体现在移动安全需求大、研究人员极少以及针对性公司少。爱加密,作为移动信息安全行业的引领者,基于自主知识产权核心技术,专注于移动应用的检测、加固、监测等安全服务。为保证移动应用的安全,开发者需要对APP进行一系列安全检测、安全加固以及渠道监测等工作,从而保障用户信息安全,促进互联网的健康发展。

      移动APP平台以Android、iOS为主流,而Android因其开放性,安全问题相当严峻。本次检测共计搜集270多万条app的数据,扫描出约6358万多条漏洞数据,涉及75种漏洞,有183多万款APP或多或少都存在安全漏洞。这些数据反映出android app漏洞问题的严峻性,在APP市场上,很多android app都存在潜在的安全风险,一旦被利用,会给用户和开发者带来很大影响。

       从漏洞检测结果来看,android app的漏洞问题不容乐观,这些问题是否可以规避?是否有自动化的漏洞扫描产品供app开发者使用?是否可以降低开发者和用户的利益受损程度?答案是肯定的,除了加强app开发者的安全意识,在app发布之前利用爱加密安全产品进行漏洞扫描检测可以及早发现隐含的安全问题,同时利用爱加密移动应用安全加固平台对移动应用进行安全加固,保护开发者利益和用户利益。


        二、用户隐私泄露情况需留意预防提防

       移动APP为人们的生活带来了便捷的通讯、购物、交通……人们在享受这些便捷的同时,位置信息、通话记录、照片、摄像头等个人信息可能也会默默的暴露到了网络上。目前,用户个人信息收集和使用上存在很多乱象。那么怎么才能减少或避免个人隐私信息泄露呢?爱加密手机应用专家建议如下:

       1.下载安装时认真阅读权限提示,谨慎开启权限,经常检查手机应用的权限信息,关闭用不到的或是不常用的软件权限,特别是摄像头、语音权限,不用的时候最安全做法是关闭该权限,使用时再打开。

       2.尽量不要下载来路不明的软件。每款软件下载后要及时查看权限,不需要的及时关闭。

       3.不要购买山寨、组装手机。品牌手机系统安全性相对可靠,通常不会出现强制使用状况,比如使用摄像头权限,在用户关闭的情况下强制打开,这种事一般不会发生,除非手机系统安全性过低,所以山寨手机要不得。

       4.摄像头自动打开,这种情况多数是用户自己打开了使用摄像头权限,使用后不及时关闭,某些流氓软件利用用户这个不良习惯来窃取用户隐私。即便是品牌手机,不排除个别软件出现强制打开权限状况发生,用户遇到这类问题要及时卸载软件,并通过正常渠道及时反馈给手机供应商处理。

       5.一定要通过正规应用市场下载APP,或者官网等渠道,避免通过网页弹窗、不明链接下载软件,以免手机感染病毒。


       三、政府越来越关注信息安全

       数据显示,我国移动互联网网民数量突破11.3亿,金融服务、交通出行、支付业务等逐渐向移动互联网平台迁移。移动应用安全问题越来越突出。从习近平提出“网络强国”到今年的十三届全国人大二次会议,国家领导人在会议报告中三提“信息”,涉及到信息技术发展、信息基础设施建设和个人信息保护,表明政府越来越重视信息安全,这也是移动手机用户最为关注的问题。

       2017年6月1日正式施行《中华人民共和国网络安全法》,其中第41条至43条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息,应当遵循相关的法律法规,并经被收集者同意,不得向他人提供个人信息。此外,网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息;网络运营者应当采取安全措施,确保其收集的个人信息安全。

       然而实际操作中,由于取证难、执法难。存在大量APP开发企业无视法律法规,在用户使用时根本不提供隐私条款,部分APP即使有隐私条款,也是和实际采集的用户信息不匹配现象。大量APP存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量APP在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。

       此外需引起关注的是,3.13爆出的SDK“顺手牵羊”窃取用户隐私信息的事件虽已告一段落,但还有较多的SDK仍在隐蔽的做着窃取用户信息的行为。因此作为APP开发企业,除了提高安全意识、规范自身行为以外,还应对自己提供的APP负责,避免因SDK的恶意行为而受到牵连。提高移动应用开发企业的法律意识,主动担负起保护用户个人隐私信息的责任。

       爱加密移动应用大数据平台,以移动应用安全大数据为基础,采用大数据和人工智能技术,对态势发展情况进行预测评估,形成行业分析报告,推进我国移动应用安全的建设与发展,为落实《网络安全法》《个人隐私信息安全法》贡献绵薄之力。


文章来源:爱加密官方公众号











联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号