全国移动APP安全性研究报告:约70%的APP都存在安全漏洞

作者:???深圳市网安计算机安全检测技术有限公司 2019/05/08 09:59:01 245次阅读 国内
文章来源:https://www.freebuf.com/articles/paper/202843.html

? ? ? 据统计,每年至少新增150万种移动恶意软件,至少造成超过1600 万件的移动恶意软件攻击事件。爱加密全国移动 APP 安全性研究报告,旨在让移动手机用户了解 APP 风险隐患对个人隐私信息及资金安全等方面所造成的威胁,提高其安全防范意识。通过对 App 违法违规收集使用个人信息行为的通报,协同有关主管部门、APP 供应商、APP 提供商等,共同营造安全的移动应用环境,促进网络安全的规范化、安全化、健康化发展。

全国移动 APP 概况

? ? ? 截止 3 月底大数据中心已收录 Android app 应用 270 多万个,IOS 应用 190 多万个,其中 50% 以上的 APP 都存在漏洞威胁,5.24% 的 APP 存在病毒,30% 以上的 APP 存在不同程度的越权、超范围收集等违规行为。

(一)广北上 APP 产量高

? ? ? ?从 APP 分布区域来看,广东省 APP 数量位居第一,约占 APP 总量的 23.58%;其次是北京市,约占总量的 22.50%,排名第三的是上海市,约占总量的 12.72%。

1557196871_5cd0f047931ef.png!small

(二)游戏娱乐行业 APP 数量最多、安全性最差

? ? ? ?游戏娱乐类 APP 53 万,约占总量的 20%,存在高风险漏洞最多,在所有 app 中相对最不安全。金融理财类 APP 位居第二,有 26 万,约占总量的 10%。教育培训类 APP 排名第三,有 13 万,约占总量的 5%。

1557196884_5cd0f054ae2d6.png!small

????????????????????????????????????图 2? 行业信息分布图

(三)十大市场包揽五成以上 APP,福建拥有应用市场公司最多

? ? ? ?从应用市场拥有 APP 数量来看,目前上线的 APP 市场有 500+,其中豌豆荚、360 市场、应用宝占据应用市场排名前三甲。

1557196895_5cd0f05fc9814.png!small

????????????????????????????????????????图 3? 应用市场统计图

? ? ? ?从应用市场公司主体所属区域来看,福建省 APP 应用商店最多,占总量的 16.47%,如「好卓市场」、「手机玩」、「最笨下载」等应用市场的所属公司都在福建省,其次是湖北省和北京市的应用市场公司数量较多,分别占总量的 16.06% 和 13.25%。

1557196907_5cd0f06b07f7c.png!small

????????????????????????????????????图 4? 应用市场区域分布图

移动 APP 漏洞情况分析

(一)约 70% 的 APP 都或多或少存在安全漏洞

? ? ? ?移动应用安全平台扫描了 270 多万个 APP,其中,有漏洞的 APP 约 183 万个,占监测总数的 67.77%。排名前三的漏洞分别是:Janus 漏洞、未移除风险的 WebView 系统隐藏接口漏洞、截屏攻击风险漏洞。

1557196920_5cd0f0782faca.png!small

????????????????????????????????????图 5?? 漏洞 APP 数量统计图

(二)约 70% 的 APP 都存在高危漏洞

? ? ? ?约 181 万个 APP 存在高危漏洞,占监测总数的 67.04%。2% 的 APP 存在 20 个以上高危漏洞,19% 的 APP 存在 10-20 个高危漏洞,79% 的 APP 存在 10 个以下的高危漏洞。

? ? ? ?从 APP 漏洞种类来看,存在 Janus 高危漏洞的 APP 数量最多,占监测总数的 66.67%;其次是 Java 代码未加壳漏洞,占监测总数的 57.19%;排在第三位的是 WebView 明文存储密码漏洞,占监测总数的 48.69%。

1557196940_5cd0f08c5a7b6.png!small

????????????????????????????????????图 6?? 高危漏洞统计图

? ? ? ?Janus 漏洞主要威胁是可以绕过了安卓系统的整个安全机制,可以盗取用户的账户、密码等敏感信息,甚至可以植入木马病毒,属于高危漏洞。

? ? ? ?Java 文件未进行加壳保护,主要威胁是可能被反编译,易导致代码逻辑泄露、重要数据加密代码逻辑泄露等,属于高危漏洞。

? ? ? ?WebView 明文存储密码漏洞,主要威胁是用户保存在 WebView 中的密码,会被明文保存到应用数据目录中,可能会被攻击者窃取本地明文存储的用户名和密码。

(三)游戏娱乐类 APP 相对安全性较差

? ? ? ?从 APP 类别来看,存在漏洞的所有 APP 中,游戏娱乐类最多,占 16.0%,其次为金融理财类,占 14.2%,教育培训排名第三,占 12.9%。

? ? ? ?从各类 APP 中含有的高风险漏洞来看,67.04% 的移动 APP 存在高危安全漏洞。其中,游戏娱乐类 APP 含有高风险漏洞的比例最高,占游戏娱乐类 APP 总量的 75.9%;其次为新闻资讯类 APP,占新闻资讯类 APP 总量的 63.6%,教育培训排名第三,占教育培训类 APP 总量的 42.9%。

(四)APP 漏洞主要分布区域

? ? ? ?从漏洞的区域分布来看,北上广占比较高,其中广东省存在漏洞应用数量占总量的 19.08%,其次是北京市,占总量的 18.21%,排名第三的是上海市,占总量的 10.29%。

1557197076_5cd0f1143968f.png!small

????????????????????????????????????????图 7?? 漏洞区域分布情况

移动 APP 病毒情况分析

(一)每 100 个应用中至少有 5 个应用存在病毒

? ? ? ?通过安全平台对 APP 进行病毒扫描,截止目前,已完成病毒扫描的 APP 中有 14.19 万款 APP 存在病毒,病毒率高达 5.24%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。

(二)93% 以上的病毒存在流氓行为

? ? ? ?从病毒分类来看,93.96% 的病毒存在流氓行为,这类病毒会造成「广告推送」、「隐私信息监控」、「流量或资金消耗」等危害;1.79% 的病毒存在隐私窃取,这类病毒会造成短信、GPS 定位、联系人信息等敏感信息被窃取;1.09% 的病毒存在恶意扣费,这类病毒会使用户话费激增,造成经济损失。

1557197138_5cd0f1526a6da.png!small

????????????????????????????????????????????图 8? 病毒类型统计表

(三)病毒 APP 主要分布区域

? ? ? ?从病毒 APP 分布区域来看,广东省占病毒 APP 总量 27.33%,其次是浙江省,占病毒 APP 总量 10.49%,最后是北京市,占病毒 APP 总量 10.23%。

1557197165_5cd0f16d3161b.png!small

????????????????????????????????????????图 9?? 病毒区域分布图

(四)七成以上的应用商店都存在病毒 APP

? ? ? ?本次扫描监测的应用商店,其中多达 185 家都存在涉及病毒的 APP,这其中包括有大量用户及下载量的主流应用商店。此外需要引起关注的是,一些小的应用商店,APP 总量不多但存在病毒的 APP 占比较高。

移动应用高危风险分析

(一)不可忽视的隐私条款

? ? ? ?随着 APP 应用的发展,越来越多的 APP 打着服务用户的旗号获取大量的用户隐私信息,部分 APP 在使用用户隐私权限时根本不提供隐私条款,部分 APP 即使有隐私条款,也是和实际采集的用户信息不匹配的。大量 APP 存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量 APP 在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。用户隐私信息正面临安全的挑战。

? ? ? ?案例:这是某金融服务 APP 提供给用户的隐私条款部分截图,你可能很难认真去阅读这些条款,一般都会直接选择同意,但是你可能不知道,你点击同意后,就表示你已经阅读并接受这个条款里的所有内容,比如有一条关于你信息共享问题的条款:「我们会与我们的供应商、服务提供商、顾问或代理人共享您的个人信息,以提供更好的用户体验」。意思就是你点击同意这个条款,那么你的个人信息就可能会被第三方获取。

? ? ? ?不知道你是否留意,图里还有这样一句:「除非得到您的允许,否则我们不会将你的个人信息提供给广告合作、分析服务合作伙伴」,这下你应该明白为什么前两天你刚跟朋友提起你想买个智能音箱,第二天就能收到关于智能音箱的各种广告推送。

1557197204_5cd0f194d27ef.png!small?

????????????图 10 ??个人隐私条款截图

(二)个人隐私风险

? ? ? ?随着移动应用的迅猛发展,人们对于移动应用涉及个人信息的隐私性日益关注。移动应用涵盖用户大量个人隐私性数据,一旦发生泄漏可能对个人、社会造成重大影响,同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用应该有效的保障用户的账号密码和个人信息数据安全,保护用户的个人隐私。如何保障移动应用的数据安全和数据隐私,成为了国内外移动应用安全技术亟待解决的问题。

? ? ? ?案例 1:在今年 3.15 几天爆出,某知名 SDK 供应商利用向各大应用公司提供 SDK 服务的便利,大量获取用户信息。窃取数据的程序名为「SWAnalytics」,存在于应用的 SDK 模块当中。当用户安装并打开受感染的应用,或者重启了设备,SWAnalytics 便会自动读取用户的通讯录,并上传至远程的服务器。据相关数据统计,此次信息盗取事件中受感染的应用程序下载量至少有 1.11 亿次,可见涉及面之广。

案例 2:某电商 APP 正通过后台程序收集用户的地址、电话等个人信息。

1557197237_5cd0f1b5587fd.png!small

????????????????????????????????????????????????图 11 ?电商收集用户信息截图

案例 3:某游戏应用正在通过后台程序获取用户的手机信息。

1557197250_5cd0f1c243460.png!small

????????????????????图 12 ??请求品牌、手机型号、IMEI、系统版本等信息

1557197411_5cd0f263ac3f3.png!small

????????????????????????????????????????图 13 ??获取 IMEI 号代码

1557197422_5cd0f26e498ad.png!small

????????????????????????????????????图 14 ??获取手机 MAC 地址?

1557197433_5cd0f279a8241.png!small

????????????????????????????????????图 15 ??获取手机型号与品牌??

1557197444_5cd0f28410eab.png!small

????????????????????????????????????图 16 ??获取系统版本地址

总结

一、移动应用安全问题决定着移动应用产业的未来

? ? ? ?在移动互联网火热发展的时代,移动 APP 无处不在,购物、音乐、学习、理财、社交、娱乐等等。据调查报告显示,目前移动 APP 安全市场缺口大,主要体现在移动安全需求大、研究人员极少以及针对性公司少。为保证移动应用的安全,开发者需要对 APP 进行一系列安全检测、安全加固以及渠道监测等工作,从而保障用户信息安全,促进互联网的健康发展。

? ? ? ?移动 APP 平台以 Android、iOS 为主流,而 Android 因其开放性,安全问题相当严峻。本次检测共计搜集270 多万条 app 的数据,扫描出约?6358 万多条漏洞数据,涉及75 种漏洞,有183 多万款 APP 或多或少都存在安全漏洞。这些数据反映出 android app 漏洞问题的严峻性,在 APP 市场上,很多 android app 都存在潜在的安全风险,一旦被利用,会给用户和开发者带来很大影响。

二、用户隐私泄露情况需留意预防提防

? ? ? ?移动 APP 为人们的生活带来了便捷的通讯、购物、交通……人们在享受这些便捷的同时,位置信息、通话记录、照片、摄像头等个人信息可能也会默默的暴露到了网络上。目前,用户个人信息收集和使用上存在很多乱象。那么怎么才能减少或避免个人隐私信息泄露呢?手机应用专家建议如下:

1.下载安装时认真阅读权限提示,谨慎开启权限,经常检查手机应用的权限信息,关闭用不到的或是不常用的软件权限,特别是摄像头、语音权限,不用的时候最安全做法是关闭该权限,使用时再打开。

2. 尽量不要下载来路不明的软件。每款软件下载后要及时查看权限,不需要的及时关闭。

3.不要购买山寨、组装手机。品牌手机系统安全性相对可靠,通常不会出现强制使用状况,比如使用摄像头权限,在用户关闭的情况下强制打开,这种事一般不会发生,除非手机系统安全性过低,所以山寨手机要不得。

4. 摄像头自动打开,这种情况多数是用户自己打开了使用摄像头权限,使用后不及时关闭,某些流氓软件利用用户这个不良习惯来窃取用户隐私。即便是品牌手机,不排除个别软件出现强制打开权限状况发生,用户遇到这类问题要及时卸载软件?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?,并通过正常渠道及时反馈给手机供应商处理。

5. 一定要通过正规应用市场下载 APP,或者官网等渠道,避免通过网页弹窗、不明链接下载软件,以免手机感染病毒。

三、政府越来越关注信息安全

? ? ? ?数据显示,我国移动互联网网民数量突破 11.3 亿,金融服务、交通出行、支付业务等逐渐向移动互联网平台迁移。移动应用安全问题越来越突出。从习近平提出「网络强国」到今年的十三届全国人大二次会议,国家领导人在会议报告中三提「信息」,涉及到信息技术发展、信息基础设施建设和个人信息保护,表明政府越来越重视信息安全,这也是移动手机用户最为关注的问题。

? ? ? ?2017 年 6 月 1 日正式施行《中华人民共和国网络安全法》,其中第 41 条至 43 条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息,应当遵循相关的法律法规,并经被收集者同意,不得向他人提供个人信息。此外,网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息;网络运营者应当采取安全措施,确保其收集的个人信息安全。

? ? ? ?然而实际操作中,由于取证难、执法难。存在大量 APP 开发企业无视法律法规,在用户使用时根本不提供隐私条款,部分 APP 即使有隐私条款,也是和实际采集的用户信息不匹配现象。大量 APP 存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量 APP 在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。

? ? ? ?此外需引起关注的是,3.13 爆出的 SDK「顺手牵羊」窃取用户隐私信息的事件虽已告一段落,但还有较多的 SDK 仍在隐蔽的做着窃取用户信息的行为。因此作为 APP 开发企业,除了提高安全意识、规范自身行为以外,还应对自己提供的 APP 负责,避免因 SDK 的恶意行为而受到牵连。提高移动应用开发企业的法律意识,主动担负起保护用户个人隐私信息的责任。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室