通付盾——金融科技安全行业领军品牌 风险决策平台 · 信用认证 · 多因子身份认证 · APP检测加固 技术专业 服务安全 体验快捷
QQ咨询 在线咨询 400-8318-116 免费申请试用
行业动态
2017年移动互联网应用程序安全态势分析
来源:本站原创 时间:2018-02-28 作者:adminx

 一、引言 


据CNNIC统计,截止2017年12月,我国网民规模达7.72亿,其中手机网民规模达7.53亿,占比达97.5%,以手机等移动智能设备为载体的移动互联网应用程序(以下简称移动应用或APP)已成为当前人民生活和经济发展中不可或缺的关键要素。


随着移动互联网在各个主要行业的深度应用,涉及海量隐私信息的移动大数据正持续快速增长。由于移动应用的开发质量参差不齐,安全漏洞和隐患频发,用户隐私窃取成为常态,相关安全风险逐渐扩大。


本文将从移动应用整体安全分析、行业应用重点风险分析等角度,分析总结2017年移动应用安全态势。


 二、移动应用整体安全分析 


基于通付盾APP监测平台对国内主要移动应用市场及分发渠道的实时安全检测数据,分析发现2017年12月,我国移动应用数量规模超过570万,较2016年增长14.14%,新生应用增长放缓。


形成对比的是:2017年恶意应用数量总计29,701个,同比增长28.66%;高危应用总计858,406个,同比增长5.58%;仿冒应用数量总计28,154个,同比增长21.94%。恶意、仿冒应用增长明显,增长趋势远超移动应用总体增速。


1.jpg

大量移动应用存在主动收集用户数据的行为,越界获取隐私权限的问题。安全问题突出的移动应用擅自使用付费业务、恶意推送广告等,直接威胁用户隐私信息安全,损害用户的切身利益。


(一) 恶意应用不断进化

2017年,Android恶意应用从23,000余款增长到29,701款,一年之内规模增长了28.66%,恶意应用不仅数量不断增长,攻击招数也在不断进化。勒索病毒“WannaCry”大行其道时,部分移动端勒索软件使用加密平台对自身进行加密保护;比特币疯狂期各类挖矿木马层出不穷,用户手机不经意间变成了挖矿机;小程序的走红也为黑客们提供了新的攻击平台,各类小程序外挂泛滥。

2.jpg


对恶意应用行为监测显示,不断进化的恶意应用存在多种恶意行为,其中,流氓行为、资费消耗及信息窃取三类占比最高。

3.jpg


对恶意应用所属地域监控数据显示,经济发达地区成为恶意应用威胁主要区域。2017年北京地区恶意应用排全国首位,占比高达28.11%;其次是广东省,占比24.59%,恶意应用不断向周边地区扩散,渗透到福建、湖南、湖北等地。在传播方式上,恶意应用开始从移动应用分发平台向论坛、网盘扩散,出现了利用夹带恶意代码的SDK传播的新方式。

4.jpg


(二) 漏洞数量增长明显

2017年Android移动端高危应用总计858,406个;中危应用总计2,526,736个;低危应用总计25,133,329个;2017年移动应用安全漏洞数量规模累计超过2.8亿,相当于每一个移动应用含40个安全漏洞,移动应用脆弱性可见一斑,移动应用版本更新及新漏洞发现带来的安全漏洞明显增加。


5.jpg

安全漏洞等级分布数据表明,企业在注重移动应用开发速度过程中,对移动应用开发规范及安全性的忽视,平均每一款移动应用高危漏洞数1.5个,高危漏洞占比达3.01%,较2016年的2.33%有明显上升。

6.jpg


安全漏洞类型也在明显增多:共监测到移动应用19种不同类型的高危漏洞,其中未移除有风险的WebView系统隐藏接口漏洞占比高达27.23%;WebView远程代码执行安全位列第二,占比17.72%,WebView组件忽略SSL证书验证错误漏洞位列第三,占比17.66%。

7.jpg


2017年由于高危漏洞导致经济损失达到数千亿美元,安全漏洞已成为个人及企业最关心的核心问题。此外,移动应用第三方SDK安全漏洞成为安全漏洞新趋势之一。SDK安全漏洞一旦被利用,攻击者就能利用SDK本身的功能发动恶意攻击,例如在用户毫无察觉的情况下打开相机拍照,通过发送短信盗取双因子认证令牌,或将设备变成僵尸网络的一部分。


(三) 仿冒威胁全面扩散

2017年,仿冒应用规模从2.3万增长到2.8万左右,增长21.74%,仿冒成风,不少仿冒软件内置恶意代码,并以隐私窃取、推送广告、恶意扣费等方式损害用户利益。

仿冒应用制作成本低廉,并形成地下产业链,不断向各行业扩散,其中游戏娱乐行业成为仿冒重灾区,该行业仿冒应用数量占到所有行业的52.27%。

8.jpg


不法分子通过仿冒官方应用图标、应用名甚至软件内容框架,以混淆用户视线骗取用户在各大渠道应用市场下载安装,数据显示,2017年,80%的移动应用市场及分发平台均发现仿冒应用踪迹,仿冒应用数量分布最多的前十大移动应用市场包括:安软市场、酷派应用商店、应用宝等。


9.jpg


 三、行业应用重点风险分析 


随着移动计算时代的到来,移动应用所带来的不仅仅是新兴的办公形势,也将各行业数据安全边界无限延伸,脱离了企业内部的管控环境。2017年恶意应用数量和类型的高速增长,使移动设备成为渗透企业网络的跳板;仿冒应用真假难辨,损害企业声誉;移动应用质量参差不齐,安全漏洞事件频发,移动应用行业安全风险逐渐扩大。


10.jpg


2017年,游戏娱乐行业成为恶意、仿冒及高危应用等危险应用重灾区,尤其恶意应用数量占到全行业55%,行业乱象严重,亟待监管机构加以清肃整顿。


值得注意的是,2017年,恶意、仿冒及高危应用行业安全风险不断扩大,金融机构、交管部门、政府办公等重要行业移动应用安全风险正在上升。


(一) 交通出行面临恶意应用侵袭

2017年,包括“网约车”、共享单车等在内的交通出行移动应用总计达41,389款,其中危险应用(指恶意应用、高危应用、仿冒应用)占行业应用的比例高达21.03%,行业内恶意应用(157个)、仿冒应用(51个)及高危应用(8,495个)问题突出,在行业快速发展时期,应用安全问题给监管部门带来了新的挑战。


11.jpg


对交通出行类恶意应用行为监测显示,信息窃取(占比24.93%)类恶意行为占比排名第一,不少行业应用获取与自身功能无关的用户隐私权限的行为,给用户带来极大的安全隐患。


例如,部分APP越界访问手机短信、记事本等应用,可查看用户的银行卡账号密码等重要信息,危及用户财产安全;而被窃取的用户身份信息等隐私极易被网络黑产利用进行售卖,加剧网络诈骗。


12.jpg


2017年“网约车”在市场上流行,深受终端用户欢迎,下载安装量巨大。然而,“网约车”行业应用出现“整蛊漏洞”、恶意扣费、司机恶意刷单等现象,相关的恶意应用混杂在移动应用市场上,甚至知名“网约车”应用也不幸被不法分子植入恶意代码,成为恶意行为传播的载体,严重威胁企业形象和用户隐私、财产安全。


13.jpg

表1 “网约车”恶意应用列表


(二) 移动政务漏洞安全隐患突出

2017年11月,中国工程院院士倪光南在全球网络安全产业创新论坛上提出,政府公共部门成为黑客攻击的重点,包括网站篡改、植入后门、仿冒等针对政府公共部门的各种攻击态势有增无减。随着“互联网+政务”的推进,各类型终端和网络互联互通,移动接入给移动政务办公带来很大安全隐患,成为制约移动政务发展一大因素。


面对网络攻击威胁,政府办公类移动应用自身安全性稍显脆弱。2017年政府服务类移动应用中,高危应用数占比高达4.53%,高危漏洞类型达14种,如WebView组件安全漏洞、固定端口监听风险漏洞等,行业内应用安全漏洞问题突出。


14.jpg


移动应用安全漏洞极易被黑客恶意攻击利用,并导致大量政府机密信息泄露,不少应用所有者安全意识薄弱,未对移动应用进行有效地加固防护。以某市交通管理类移动应用为例,安全专家对该应用代码进行分析,很容易就找到该应用的多个代码安全漏洞,这些漏洞极易导致设备被安装远程控制木马、通讯录和短信被窃取等安全事件发生。

15.jpg


(三) 金融行业遭遇仿冒威胁严重

监测数据显示,截至2017年12月,金融行业移动应用总计达346,629个(银行、证券及保险类应用总计32,647个,第三方支付类应用总计11,859个,理财工具类应用总计302,123个),其中恶意应用共计373个,仿冒应用共计717个,高危应用共计43,435个。金融行业面临恶意、高危应用威胁同时,仿冒问题严重,包括农行、工行、光大银行在内的多家银行应用均发现仿冒应用,这些仿冒应用直接威胁用户的银行卡、账号、密码等信息财产安全。


16.jpg

表2 部分移动银行应用仿冒列表


仿冒应用不仅针对手机银行,甚至蔓延到现金贷、第三方支付等领域,2017年监测数据显示,仅互联网金融仿冒应用多达1300多个,仿冒APP累计下载量达3000万次,包括支付宝、京东金融等在内的主流支付应用皆被仿冒。


 四、总结 


移动互联网经过十多年的发展,移动应用已基本覆盖社会经济生活的方方面面。借助近年来“互联网+”政策春风的持续推动,移动应用已与各主要行业深度融合。由于重要行业应用场景逐渐增多,同时不法分子攻击手段也在不断升级,移动安全工作仍有多方面需要加强。


在党和政府对移动互联网安全工作的重视和推动下,针对移动互联网安全相关法律法规和标准在陆续出台和完善,例如《网络安全法》正式实施、“网络安全等级保护2.0”已专题覆盖移动互联网安全。国家监管部门、第三方安全机构、移动安全企业等跨部门、跨行业间的合作正在加强。


随着移动应用平台备案、APP实名管理、移动安全监测、违法违规APP曝光、清理和整治工作的逐步实施,移动应用安全态势状况将继续改善,进一步促进移动互联网的安全健康发展。


帮助文档
联系我们
  • 商务咨询:info@tongfudun.com
  • 售后服务:service@tongfudun.com
  • 市场合作:info@tongfudun.com
  • 英才招聘:jobs@tongfudun.com
  • 蓝海基金:bp@tongfudun.com
  • 联系电话:400-831-8116
随时随地了解通付盾动态 敬请关注:

通付盾
官方微博

通付盾
官方公众号