全国移动APP安全性研究报告:约70%的APP都存在安全漏洞

作者:   深圳市网安计算机安全检测技术有限公司 2019/05/08 09:59:01 180次阅读 国内
文章来源:https://www.freebuf.com/articles/paper/202843.html

      据统计,每年至少新增150万种移动恶意软件,至少造成超过1600 万件的移动恶意软件攻击事件。爱加密全国移动 APP 安全性研究报告,旨在让移动手机用户了解 APP 风险隐患对个人隐私信息及资金安全等方面所造成的威胁,提高其安全防范意识。通过对 App 违法违规收集使用个人信息行为的通报,协同有关主管部门、APP 供应商、APP 提供商等,共同营造安全的移动应用环境,促进网络安全的规范化、安全化、健康化发展。

全国移动 APP 概况

      截止 3 月底大数据中心已收录 Android app 应用 270 多万个,IOS 应用 190 多万个,其中 50% 以上的 APP 都存在漏洞威胁,5.24% 的 APP 存在病毒,30% 以上的 APP 存在不同程度的越权、超范围收集等违规行为。

(一)广北上 APP 产量高

       从 APP 分布区域来看,广东省 APP 数量位居第一,约占 APP 总量的 23.58%;其次是北京市,约占总量的 22.50%,排名第三的是上海市,约占总量的 12.72%。

1557196871_5cd0f047931ef.png!small

(二)游戏娱乐行业 APP 数量最多、安全性最差

       游戏娱乐类 APP 53 万,约占总量的 20%,存在高风险漏洞最多,在所有 app 中相对最不安全。金融理财类 APP 位居第二,有 26 万,约占总量的 10%。教育培训类 APP 排名第三,有 13 万,约占总量的 5%。

1557196884_5cd0f054ae2d6.png!small

                                    图 2  行业信息分布图

(三)十大市场包揽五成以上 APP,福建拥有应用市场公司最多

       从应用市场拥有 APP 数量来看,目前上线的 APP 市场有 500+,其中豌豆荚、360 市场、应用宝占据应用市场排名前三甲。

1557196895_5cd0f05fc9814.png!small

                                        图 3  应用市场统计图

       从应用市场公司主体所属区域来看,福建省 APP 应用商店最多,占总量的 16.47%,如「好卓市场」、「手机玩」、「最笨下载」等应用市场的所属公司都在福建省,其次是湖北省和北京市的应用市场公司数量较多,分别占总量的 16.06% 和 13.25%。

1557196907_5cd0f06b07f7c.png!small

                                    图 4  应用市场区域分布图

移动 APP 漏洞情况分析

(一)约 70% 的 APP 都或多或少存在安全漏洞

       移动应用安全平台扫描了 270 多万个 APP,其中,有漏洞的 APP 约 183 万个,占监测总数的 67.77%。排名前三的漏洞分别是:Janus 漏洞、未移除风险的 WebView 系统隐藏接口漏洞、截屏攻击风险漏洞。

1557196920_5cd0f0782faca.png!small

                                    图 5   漏洞 APP 数量统计图

(二)约 70% 的 APP 都存在高危漏洞

       约 181 万个 APP 存在高危漏洞,占监测总数的 67.04%。2% 的 APP 存在 20 个以上高危漏洞,19% 的 APP 存在 10-20 个高危漏洞,79% 的 APP 存在 10 个以下的高危漏洞。

       从 APP 漏洞种类来看,存在 Janus 高危漏洞的 APP 数量最多,占监测总数的 66.67%;其次是 Java 代码未加壳漏洞,占监测总数的 57.19%;排在第三位的是 WebView 明文存储密码漏洞,占监测总数的 48.69%。

1557196940_5cd0f08c5a7b6.png!small

                                    图 6   高危漏洞统计图

       Janus 漏洞主要威胁是可以绕过了安卓系统的整个安全机制,可以盗取用户的账户、密码等敏感信息,甚至可以植入木马病毒,属于高危漏洞。

       Java 文件未进行加壳保护,主要威胁是可能被反编译,易导致代码逻辑泄露、重要数据加密代码逻辑泄露等,属于高危漏洞。

       WebView 明文存储密码漏洞,主要威胁是用户保存在 WebView 中的密码,会被明文保存到应用数据目录中,可能会被攻击者窃取本地明文存储的用户名和密码。

(三)游戏娱乐类 APP 相对安全性较差

       从 APP 类别来看,存在漏洞的所有 APP 中,游戏娱乐类最多,占 16.0%,其次为金融理财类,占 14.2%,教育培训排名第三,占 12.9%。

       从各类 APP 中含有的高风险漏洞来看,67.04% 的移动 APP 存在高危安全漏洞。其中,游戏娱乐类 APP 含有高风险漏洞的比例最高,占游戏娱乐类 APP 总量的 75.9%;其次为新闻资讯类 APP,占新闻资讯类 APP 总量的 63.6%,教育培训排名第三,占教育培训类 APP 总量的 42.9%。

(四)APP 漏洞主要分布区域

       从漏洞的区域分布来看,北上广占比较高,其中广东省存在漏洞应用数量占总量的 19.08%,其次是北京市,占总量的 18.21%,排名第三的是上海市,占总量的 10.29%。

1557197076_5cd0f1143968f.png!small

                                        图 7   漏洞区域分布情况

移动 APP 病毒情况分析

(一)每 100 个应用中至少有 5 个应用存在病毒

       通过安全平台对 APP 进行病毒扫描,截止目前,已完成病毒扫描的 APP 中有 14.19 万款 APP 存在病毒,病毒率高达 5.24%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。

(二)93% 以上的病毒存在流氓行为

       从病毒分类来看,93.96% 的病毒存在流氓行为,这类病毒会造成「广告推送」、「隐私信息监控」、「流量或资金消耗」等危害;1.79% 的病毒存在隐私窃取,这类病毒会造成短信、GPS 定位、联系人信息等敏感信息被窃取;1.09% 的病毒存在恶意扣费,这类病毒会使用户话费激增,造成经济损失。

1557197138_5cd0f1526a6da.png!small

                                            图 8  病毒类型统计表

(三)病毒 APP 主要分布区域

       从病毒 APP 分布区域来看,广东省占病毒 APP 总量 27.33%,其次是浙江省,占病毒 APP 总量 10.49%,最后是北京市,占病毒 APP 总量 10.23%。

1557197165_5cd0f16d3161b.png!small

                                        图 9   病毒区域分布图

(四)七成以上的应用商店都存在病毒 APP

       本次扫描监测的应用商店,其中多达 185 家都存在涉及病毒的 APP,这其中包括有大量用户及下载量的主流应用商店。此外需要引起关注的是,一些小的应用商店,APP 总量不多但存在病毒的 APP 占比较高。

移动应用高危风险分析

(一)不可忽视的隐私条款

       随着 APP 应用的发展,越来越多的 APP 打着服务用户的旗号获取大量的用户隐私信息,部分 APP 在使用用户隐私权限时根本不提供隐私条款,部分 APP 即使有隐私条款,也是和实际采集的用户信息不匹配的。大量 APP 存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量 APP 在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。用户隐私信息正面临安全的挑战。

       案例:这是某金融服务 APP 提供给用户的隐私条款部分截图,你可能很难认真去阅读这些条款,一般都会直接选择同意,但是你可能不知道,你点击同意后,就表示你已经阅读并接受这个条款里的所有内容,比如有一条关于你信息共享问题的条款:「我们会与我们的供应商、服务提供商、顾问或代理人共享您的个人信息,以提供更好的用户体验」。意思就是你点击同意这个条款,那么你的个人信息就可能会被第三方获取。

       不知道你是否留意,图里还有这样一句:「除非得到您的允许,否则我们不会将你的个人信息提供给广告合作、分析服务合作伙伴」,这下你应该明白为什么前两天你刚跟朋友提起你想买个智能音箱,第二天就能收到关于智能音箱的各种广告推送。

1557197204_5cd0f194d27ef.png!small 

            图 10   个人隐私条款截图

(二)个人隐私风险

       随着移动应用的迅猛发展,人们对于移动应用涉及个人信息的隐私性日益关注。移动应用涵盖用户大量个人隐私性数据,一旦发生泄漏可能对个人、社会造成重大影响,同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用应该有效的保障用户的账号密码和个人信息数据安全,保护用户的个人隐私。如何保障移动应用的数据安全和数据隐私,成为了国内外移动应用安全技术亟待解决的问题。

       案例 1:在今年 3.15 几天爆出,某知名 SDK 供应商利用向各大应用公司提供 SDK 服务的便利,大量获取用户信息。窃取数据的程序名为「SWAnalytics」,存在于应用的 SDK 模块当中。当用户安装并打开受感染的应用,或者重启了设备,SWAnalytics 便会自动读取用户的通讯录,并上传至远程的服务器。据相关数据统计,此次信息盗取事件中受感染的应用程序下载量至少有 1.11 亿次,可见涉及面之广。

案例 2:某电商 APP 正通过后台程序收集用户的地址、电话等个人信息。

1557197237_5cd0f1b5587fd.png!small

                                                图 11  电商收集用户信息截图

案例 3:某游戏应用正在通过后台程序获取用户的手机信息。

1557197250_5cd0f1c243460.png!small

                    图 12   请求品牌、手机型号、IMEI、系统版本等信息

1557197411_5cd0f263ac3f3.png!small

                                        图 13   获取 IMEI 号代码

1557197422_5cd0f26e498ad.png!small

                                    图 14   获取手机 MAC 地址 

1557197433_5cd0f279a8241.png!small

                                    图 15   获取手机型号与品牌  

1557197444_5cd0f28410eab.png!small

                                    图 16   获取系統版本地址

总结

一、移动应用安全问题决定着移动应用产业的未来

       在移动互联网火热发展的时代,移动 APP 无处不在,购物、音乐、学习、理财、社交、娱乐等等。据调查报告显示,目前移动 APP 安全市场缺口大,主要体现在移动安全需求大、研究人员极少以及针对性公司少。为保证移动应用的安全,开发者需要对 APP 进行一系列安全检测、安全加固以及渠道监测等工作,从而保障用户信息安全,促进互联网的健康发展。

       移动 APP 平台以 Android、iOS 为主流,而 Android 因其开放性,安全问题相当严峻。本次检测共计搜集270 多万条 app 的数据,扫描出约 6358 万多条漏洞数据,涉及75 种漏洞,有183 多万款 APP 或多或少都存在安全漏洞。这些数据反映出 android app 漏洞问题的严峻性,在 APP 市场上,很多 android app 都存在潜在的安全风险,一旦被利用,会给用户和开发者带来很大影响。

二、用户隐私泄露情况需留意预防提防

       移动 APP 为人们的生活带来了便捷的通讯、购物、交通……人们在享受这些便捷的同时,位置信息、通话记录、照片、摄像头等个人信息可能也会默默的暴露到了网络上。目前,用户个人信息收集和使用上存在很多乱象。那么怎么才能减少或避免个人隐私信息泄露呢?手机应用专家建议如下:

1.下载安装时认真阅读权限提示,谨慎开启权限,经常检查手机应用的权限信息,关闭用不到的或是不常用的软件权限,特别是摄像头、语音权限,不用的时候最安全做法是关闭该权限,使用时再打开。

2. 尽量不要下载来路不明的软件。每款软件下载后要及时查看权限,不需要的及时关闭。

3.不要购买山寨、组装手机。品牌手机系统安全性相对可靠,通常不会出现强制使用状况,比如使用摄像头权限,在用户关闭的情况下强制打开,这种事一般不会发生,除非手机系统安全性过低,所以山寨手机要不得。

4. 摄像头自动打开,这种情况多数是用户自己打开了使用摄像头权限,使用后不及时关闭,某些流氓软件利用用户这个不良习惯来窃取用户隐私。即便是品牌手机,不排除个别软件出现强制打开权限状况发生,用户遇到这类问题要及时卸载软件                                        ,并通过正常渠道及时反馈给手机供应商处理。

5. 一定要通过正规应用市场下载 APP,或者官网等渠道,避免通过网页弹窗、不明链接下载软件,以免手机感染病毒。

三、政府越来越关注信息安全

       数据显示,我国移动互联网网民数量突破 11.3 亿,金融服务、交通出行、支付业务等逐渐向移动互联网平台迁移。移动应用安全问题越来越突出。从习近平提出「网络强国」到今年的十三届全国人大二次会议,国家领导人在会议报告中三提「信息」,涉及到信息技术发展、信息基础设施建设和个人信息保护,表明政府越来越重视信息安全,这也是移动手机用户最为关注的问题。

       2017 年 6 月 1 日正式施行《中华人民共和国网络安全法》,其中第 41 条至 43 条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息,应当遵循相关的法律法规,并经被收集者同意,不得向他人提供个人信息。此外,网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息;网络运营者应当采取安全措施,确保其收集的个人信息安全。

       然而实际操作中,由于取证难、执法难。存在大量 APP 开发企业无视法律法规,在用户使用时根本不提供隐私条款,部分 APP 即使有隐私条款,也是和实际采集的用户信息不匹配现象。大量 APP 存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量 APP 在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。

       此外需引起关注的是,3.13 爆出的 SDK「顺手牵羊」窃取用户隐私信息的事件虽已告一段落,但还有较多的 SDK 仍在隐蔽的做着窃取用户信息的行为。因此作为 APP 开发企业,除了提高安全意识、规范自身行为以外,还应对自己提供的 APP 负责,避免因 SDK 的恶意行为而受到牵连。提高移动应用开发企业的法律意识,主动担负起保护用户个人隐私信息的责任。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室