重磅蓝盾股份发布2017年度移动APP安

2019年05月15日 来源:

前言

2017年是值得载入史册的一年,是Android系统公布和首代iPhone问世后的10年。十年间,应用百花齐放,用户使用习惯基本构成,移动互联快速成长并强力助推了全球的经济发展。这是从激烈变革到稳定的一年。

伴随着移动互联飞速发展的,还有日渐复杂的移动安全形势。当民众还聚焦于移动互联带来的经济发展和产业变革时,黑客与地下黑产链涌动的暗流已异常汹涌。但大部分用户对此毫无感知。

因攻击工具获取难度和攻击门槛的大幅降低,各类络攻击带来的危害急剧上升。移动安全威逼已不容忽视,移动互联已成为国家信息安全领域的重点关注对象。

借国家在2017年正式落地《中华人民共和国络安全法》与推动等保2.0的契机,蓝盾在2018年开年之初对过去一年的移动应用情势进行系统的分析总结,希望以绵薄之力推进我国移动互联信息安全的建设与发展。

一、移动互联安全现状

1、移动互联用户群体已趋稳定

据工信部《2017年11月份通信业经济运行情况》显示,截止到2017年11月底,我国移动互联用户总数达12.5亿,其中上用户达到11.6亿。用户数量虽仍在增加,但增速已然放缓,依靠设备暴增带来的红利已经消失。

另一方面,上对移动用户的渗透也开始稳定,老用户智能的升级量达到饱和状态,移动互联的用户群体已基本稳定。

2、移动APP市场成熟 威胁与发展共生

在移动互联快速成长期间,移动APP也得到较大发展。据工信部《2017年11月互联和相干服务业报告》显示,截止11月底,我国本土第三方运用商店移动运用数量超过224万款;苹果商店中国区移动应用数量超过178万款;第三方运用商店分发数量超过8700亿次。

从用户使用方面看,应用安装量也归于稳定。截至到2017年9月,我国平均安装运用数超110款,增长率亦趋安稳。在此期间,用户对移动APP的依赖在不断深化。

随着移动民的不断增加,移动化生活成为主流并逐渐渗透到大众的消费、出行、娱乐等各个方面,移动APP得到全面发展。但与此同时,在功能上得到化开发的移动应用,因防护空白开始面临接踵而来的安全问题。安全威胁已成为制约APP发展的主要因素。

2、移动APP安全挑战

1、病毒攻击频繁

在国家语言资源监测与研究中心发布的2017年度中国媒体10大新词语中,勒索病毒作为与安全相干的关键词上榜。

自5月份永恒之蓝在全球引发安全恐慌开始,勒索病毒在2017全面入侵,移动互联也无法幸免,并逐渐演化为主战场。据国家互联应急中心报告,仅2017年10月30日到11月5日几天之间就发现15个安卓锁屏勒索类的恶意程序变种。

移动端勒索病毒以恶意锁屏、绑架文件资料勒索用户付费解锁,对移动用户的正常使用造成较大冲击,影响十分卑劣。

2、安全漏洞屡现

相比病毒入侵、黑客攻击的高频率、多形式,移动端APP则是漏洞百出。

目前移动APP普遍存在有安全漏洞,其中不乏中高危漏洞。据蓝盾统计,仅有1%的APP不存在高危漏洞;3.6%的移动APP不存在中危漏洞。反之,存在有5到8个的中危漏洞的移动APP已超过一半(67.4%),37%的移动APP有10个左右()的高危漏洞,安全现状十分严峻。

3、移动开发者的安全防护意识仍处于萌芽阶段

加固是移动APP的一道重要屏障。运用加固可在一定程度上保护开发者的核心代码算法,提高破解、盗版、二次打包的难度,有效缓解代码注入、动态调试、内存注入等攻击。

但根据蓝盾对国内某重要运用市场下载量前2万款运用的检测,发现仅有31.85%的应用采取了基本的应用安全加固措施,运用的安全防护并未引起开发者的足够重视。

值得一提的是,蓝盾在对收集到的恶意软件样本的分析中发现,部分恶意软件使用了运用加固技术。相较于开发者对安全加固的普遍无视,部份病毒开发者却使用了安全加固技术,这种变化值得业界重视。

4、APP安全受限系统安全

的系统版本与安全补丁的更新情况决定了的移动安全防护水平的底线。系统与安全补丁的更新在一定程度上体现了厂商对安全的态度。

蓝盾通过对国内部分品牌系统更新的历史数据进行分析后发现,目前大部分在发布时使用的系统并非安卓系统,且大部分的系统更新持续时间是在自发布之日起的2年内。这意味着用户使用一台超过2年就有较大可能无法取得升级,已知的系统隐患也未能得到修复,安全威逼倍增。

该问题目前已引起行业重视。据蓝盾统计,自2015年起,越来越多的在发布时就采用了的安卓系统,并内置有相干的安全功能,出厂安全防护前景值得期待。

新设备新系统的安全系数开始上升固然令人欣喜,但仍须注意的是,旧机的安全威胁仍然存在。据友盟、百度等第三方统计平台的数据显示,目前移动互联上活跃的装备中,系统版本低于6.0的仍高达53.72%,整体安全情况并不乐观。

三、APP安全变化及趋势

1、APP窃取用户隐私成为常态

用户数据在黑客眼中是香饽饽,对移动厂而言亦是如此,许多移动APP存在主动搜集用户数据的行动。2017年7月下旬,中央信办等四部委对国内1500多个站和APP的隐私政策进行测评。检测报告中没有一个APP达到高评级,而透明度在较低和低的平台和APP却超过总数的80%。

其中大量应用存在越界获取隐私权限的问题。越界获得隐私权限是指运用获得与自身功能无关的用户隐私权限的行为,给用户带来极大的安全隐患。如部份APP越界访问短信、记事本等应用,可查看用户的银行卡账号密码等重要信息,危及用户财产安全;而用户被窃取的个人身份信息、照片等隐私,则极易被隐私售卖等络信息黑产所利用,加剧络诈骗。

APP厂商监守自盗的行动,在伤害用户隐私权的同时,也给黑客留下了攻击的后门,后患无穷。

2、歹意应用攻陷全球运用商店

移动应用从开发者到用户,应用市场无疑是的渠道。目前国内外大多数运用市场会对运用进行安全检测,一定程度上保证了应用安全。但在2017年,全球应用商店Google Play屡次出现歹意应用绕过安全审查成功上架的情况,引发业界担忧。

据谷歌统计,仅携带Xavier木马病毒的运用数量已经超过800款,其中部分应用在Google Play上的下载量已经超过数百万次。对普通用户而言,单纯依赖应用市场本身的安全机制解决移动运用安全问题的方式已不再可靠。

蓝盾通过对国内某重要移动应用市场的排查发现,即便有相应的应用审核机制,应用市场的APP仍存在大量漏洞,其中不乏危及用户财产及隐私安全的高危漏洞:

目前国内许多第三方库的开发者安全意识不足,第三方库本身存在各种各样的安全隐患,进而导致用户下载使用库内APP后,安全漏洞即使被发现也无法修复,造成的影响更大。

3、黑客攻击越发重视经济收益

据美国安全公司 Carbon Black发布的勒索软件调查报告显示,与2016年相比,2017年暗经济中勒索软件的市场规模猛增2502%,且已逐步往移动设备渗透。

通过这种变化我们不难看出,黑客攻击目的已从技术盗取转为金钱勒索,对攻击行为短期变现要求较高。由于攻击门坎低、风险低、回报高,移动APP吸引了越来越多的黑客的注意。

相较安全防护已普及多年的PC端,移动安全防护是一个崭新的命题,开发者与用户的移动安全意识普遍处于萌芽阶段。因此,针对移动应用的络攻击带来的危害往往更为隐蔽而巨大。

4、攻击方式多变,新型攻击丛生

2017年的络攻击,除了勒索病毒的出现,黑客的攻击手段也推陈出新。

①新目标:小程序成攻击对象

2017年初发布的小程序在年末开始发力,头脑、跳一跳等多个小程序相继走红,取得大量用户的热捧。但同时,小程序的走红也为黑客们提供了新的攻击平台,各类小程序外挂泛滥。

小程序开发门坎较低,安全防护又未能及时跟上,面对攻击时小程序常常不堪一击。目前小程序安全防护的重要性和迫切性未引起开发者的关注,另一方面,基于的小程序备受信赖,用户防护意识严重不足,危险系数急剧上升。

②新形式:歹意APP利用挖矿

2017年,以比特币为首的电子货币余热未退,仍有大量民众趋之若鹜。获取比特币需通过设备运行特定算法,为挖到更多的矿,部分不法分子打起了移动设备的主意,通过CoinKrypt、Loapi等木马入侵用户,组建僵尸络挖矿。

此类攻击绑架用户,极易致使隐私泄漏。而挖矿(执行算法)过程中电量消耗严重,缩短了电池使用寿命,乃至有可能导致电池鼓胀,发生爆炸。

③新方式:Xcode Ghost在源头植入病毒

Xcode Ghost病毒利用开发者不规范的行为,直接在开发软件内植入病毒,实现了在源头感染运用。

Xcode Ghost带来的影响除了我们表面所看到的iOS部份运用被挂马与Unity3D被投毒,更重要的是黑客已开始尝试将攻击矛头瞄准开发者。在开发者安全意识普遍较弱的情况下,这一新式攻击手法带来的危害极大。

4、移动安全机遇与挑战并存

目前,移动互联已得到完全普及。面对移动装备、移动APP存在的众多安全隐患,国家政府与企业已开始意识到问题的严重性,各方面的应对之策相应出台。

1、《络安全法》保护个人隐私,等保2.0首提移动互联等级保护要求

2017年6月,《中华人民共和国络安全法》(下称《络安全法》)正式实施,移动互联安全保护有法可依。

一方面,《络安全法》对用户个人信息保护做出了明确规定。如非法获取出售公民个人隐私信息超50条将入罪,企业应确保个人信息安全,若发生信息泄露、毁损、丢失的情况时应及时补救并告知用户、报告有关主管部门等。

《络安全法》定义了我国用户隐私权益边界,在法律层面确定了运营方保护用户信息的,对限制运营方的用户信息收集行动、打击信息买卖等非法行为都具有重要意义。

另一方面,借国家立法契机,等保2.0中正式提出了移动APP等级保护的要求。

等级保护是指国家依据信息及信息载体重要性进行的分级保护。2017年确立的等保2.0首度明确移动APP的安全要求,触及移动应用管控、移动应用软件采购、移动应用软件开发等多个方面。此举表明移动APP的安全保护已得到国家层面的重视和支持。

2、企业重视安全 加大防护投入

2017年全球企业全面加大络安全方面的投入。根据Gartner报告显示,在2017年,全球络安全的支出额为890亿美元;到2018年,这个数字预计将到达960亿美元。

根据普华永道《2018全球信息安全状况调查》显示,2017年中国内地与香港企业在络安全方面的平均投入比全球数值高出近四分之一(23.5%),受访企业的平均预算达630万美元。

其中,46%的中国内地与香港受访企业将移动设备列为信息安全事件的攻击目标,予以重视。

3、移动安全进入AI时期 AI攻防战拉开序幕

2017年是人工智能的元年,很多领域都开始采取了人工智能技术。而移动安全防护技术也从传统的动静态防护识别,向基于大数据、深度机器学习、人工智能等方向转变,大数据、AI机器学习、态势感知等前沿技术开始正式应用于移动安全防护领域。

AI时代的移动安全防护已不再是仅限于APP的点式防护,而是扩展到通过AI与大数据作为后勤保障,以移动运用和移动设备作为能力支点,以用户为核心,云、端结合的立体防护体系。

4、用户隐私意识开始觉醒

用户隐私安全开始引起广泛关注,媒体、民众对个人隐私的重视程度明显加强。在2017年爆发的多起用户隐私被泄露及售卖的事件中,民众从开始的关注逐步演化成担忧:2017年初,央视曝光个人信息遭泄露及上贩卖的,掀起了广大市民对个人隐私安全的担忧;4月,外媒曝光上亿优酷用户信息数据在暗被售卖,无孔不入的个人信息泄漏及售卖引发用户关注;6月,顺丰与菜鸟针对用户物流数据展开争取,企业数据争取加剧用户对个人隐私的担忧。

在接踵而来的隐私泄露事件中,用户对个人隐私安全的担忧延续爬升。部份用户开始尝试主动了解并反击:2017年12月,一篇标题为《一名92年女生致周鸿祎:别再盯着我们看了》的文章在上热传,360旗下水滴直播平台被指侵犯公众隐私,水滴直播平台之后宣布关闭;2018年伊始,友曝光支付宝年度账单授权被同意,支付宝随后紧急致歉,蚂蚁金服也因此被信办约谈;春节抢票期间,用户质疑12306客户端越界获取隐私权限,引发业界关注。

以上事件皆为用户曝光,我们欣喜地看到越来越多的质疑之声是从用户口中发出。用户隐私意识开始觉醒,对移动互联环境中个人隐私安全有了更多斟酌。

对于企业而言,如何满足民众对隐私安全日趋提高的要求,调整规范本身产品及服务行为,将是2018年不得不思考的一个问题。

完整版PDF链接:

白带多白带异常
益母颗粒一般吃多少天
产后感染多久能好
相关文章
  • 津味小炒的做法
    津味小炒的做法

    津味小炒的做法非常有营养的一道菜,好吃又好看,拌面拌饭都很不错哦! 主料鸡蛋2个猪里脊3两香干2块木耳5朵韭菜5根黄花菜少许辅料盐5克生抽1勺淀粉少许 津味小炒的做法步骤1. 先将所有材料切丝准备;炒鸡蛋、滑肉丝;葱姜炝锅放入...

  • 中国成世界电影票仓今年票房有望接近300亿元
    中国成世界电影票仓今年票房有望接近300亿元

    中国电影票房节节攀升,单片票房过亿元已经不是。截至目前,在内地上映的影票过亿元的影片已有46部。去年全国电影总票房刚刚突破200亿元,而今年许多人已在讨论能否突破300亿元了。据电影业研究机构艺恩咨询统计,截至9月21日,中国电影总票房已达212.34亿元...

  • 新兴市场下降影响9月出口无碍全年目标完成
    新兴市场下降影响9月出口无碍全年目标完成

    新兴市场下降影响9月出口 无碍全年目标完成由于新兴市场的出口增速下降明显,导致我国出口继8月同比增长7.2%之后,同比下跌0.3%,大幅低于预期。对于意外的出口增速,商务部发言人沈丹阳形容“吓了一跳”。“总体来看,虽然第三季度外贸增长比上半年有明显...

  • 上思11万亩受灾松林病愈返青成灾面积30
    上思11万亩受灾松林病愈返青成灾面积30

    上思11万亩受灾松林病愈返青 成灾面积3000多亩年04月26日 08:29字号:大 中 小广西上思讯我家的山林已喷药两次,松毛虫基本死光了。4月21日,上思县松树种植大户黄猛对笔者说。去冬今春,上思县发生虫害的松林达12万亩,经过有效防治后,成灾面积仅有3000多亩,1...

  • 中方回应是否邀金正恩出席抗战胜利70周年活动
    中方回应是否邀金正恩出席抗战胜利70周年活动

    中新4月14日电 外交部发言人洪磊14日主持例行会,就美国国务院站公布“香港政策报告”、抗战胜利70周年纪念活动等答问。原标题:中方就是否邀金正恩出席抗战胜利70周年活动等答问中新4月14日电 外交部发言人洪磊14日主持例行会,就美国国务院站公布“香港政策...

  • 八大名家辩趋势大牛市归来将刷新6124历
    八大名家辩趋势大牛市归来将刷新6124历

    在下半年宏观经济回升、沪港通、QFII扩容等多种因素刺激下,在低位震荡已久的A股终于在近期迸发活力,迎来了令人惊喜的拔高走势。统计显示,7月22日以来,上证指数累计涨幅超过6%。 在这种暴涨走势背景下,A股是否终于苦尽甘来迎来新一波牛市成为投资者...