2020年Q1移动App安全态势研究报告

 

随着网络信息技术日新月异的发展,移动互联网生态系统日益庞大,移动应用App在为人们提供便捷服务的同时,任意弹出广告、捆绑下载、恶意扣费、隐私窃取、过度索权等各类行为让人防不胜防,各种形式的黑客入侵、恶意程序、安全漏洞导致的安全事件更是层出不穷。

2020年3月6日,《信息安全技术个人信息安全规范》正式发布,加上疫情期间,各类网络办公软件、网络教育软件和网络医疗应用成为关注的热点,用户量都呈现陡增的趋势,与此同时,移动应用关于用户的个人隐私、应用的安全风险问题也越来越突出,需要引起有关部门的重视。作为国内知名的移动应用安全综合服务提供商,爱加密在行业中具有一定的技术领先性和权威性,近日,爱加密重磅发布了2020年第一季度的《全国移动App安全态势研究报告》,以下为详细内容。

随着相关法律法规的出台,移动应用安全建设及合规的必要性与日俱增。然而移动应用安全问题却不容乐观, 目前移动应用安全行业仍存在以下问题: 一是应用运营企业自我防护意识不强,二是第三方SDK的使用尚存监管空白,三是应用中存在的安全漏洞未能及时发现和处理等。 虽然我国从未停止对移动应用的安全治理,但应用法规的贯彻实施,还需要应用运营企业主动承担起保障应用安全的责任,需要监管部门加强应急响应,建立可追溯机制。 只有各方同心协力,才能实现真正意义上的应用安全。

 

全国移动App概况

根据爱加密移动应用安全大数据平台提供的数据,截止3月底大数据中心已收录Android App应用315万+款,iOS应用300万+款。大部分App存在高危漏洞,5.46%的App存在恶意程序,37%以上的App存在不同程度的越权和超范围采集等违规行为。

(一)约五成应用分布在广东省

从App分布区域来看,广东省App数量位居第一,约占App总量的49.45%;其次是北京市,约占总量的17.98%;排名第三的是湖北省,约占总量的4.86%。详见图1:

图1 全国应用区域分布图

(二)游戏类App数量最多

游戏类应用数量占总量的32.89%;生活服务类App位居第二,占总量14.73%;教育类App排名第三,占总量的13.59%。详见图2:

图 2 应用类型分布图

(三)十大应用市场包揽近四成App

从应用市场拥有App数量来看,目前监测的App市场有596个,其中应用宝、360市场、豌豆荚占据应用市场排名前三甲。大部分应用分布在大渠道里。详见图3:

图3 应用市场统计图

(四)应用市场区域分布情况

从应用市场公司主体所属区域来看,北京市App应用市场最多,占总量的29.92%,如“360市场”、“百度手机助手”、“小米应用商店”等应用市场的所属公司都在北京市,其次是广东省和湖北省的应用市场公司数量较多,分别占总量的22.80%和16.74%。详见图4:

图4 应用市场区域分布图

移动App漏洞概况分析

(一)已完成检测的应用中,存在Janus高危漏洞的App最多

已完成检测的应用中,其中存在Janus高危漏洞的App数量最多,占检测总数的75.57%;其次是SO文件加固风险,占检测总数的68.84%;排在第三位的是Java代码加壳检测,占检测总数的62.70%。详见图5:

图5 高危漏洞统计图

Janus漏洞:主要威胁是可以绕过了安卓系统的整个安全机制,可以盗取用户的账户、密码等敏感信息,甚至可以植入木马病毒。

SO文件加固检测:SO文件被破解可能导致应用的核心功能代码和算法泄露。攻击者利用核心功能与算法可轻易抓取到客户端的敏感数据,并对其解密,导致用户的隐私泄露或直接财产损失。

Java代码加壳检测:主要威胁是可能被反编译,易导致代码逻辑泄露、重要数据加密代码逻辑泄露等。

(二)游戏类App漏洞数量最多

从App类别来看,游戏存在高危漏洞的应用数量最多,占高危漏洞应用总量的33.05%,其次是生活服务类,占比为14.40%,详见图6:

图6 高危漏洞应用类型分布图

(三)高危漏洞的App数量区域占比

从漏洞的区域分布来看,北上广仍是漏洞应用数量最多的区域,其中广东省存在漏洞应用数量占总量的43.13%,排名第二的是北京市,占总量的20.13%,排名第三的是上海市,占总量的7.62%。详见图7:

图7 漏洞区域分布情况

移动App恶意概况分析

(一)每100个应用中至少有5个应用存在恶意程序

通过爱加密移动应用安全大数据平台的恶意程序检测引擎检测发现,截止目前,已完成恶意检测的App中有17.24万款App存在病毒,恶意率高达5.46%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。

(二)约九成的恶意程序存在流氓行为

从恶意类型上看,恶意类型以流氓行为为主,这些恶意程序主要存在对用户的隐私信息收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。详见图8:

图8 恶意类型统计表

(三)恶意App区域分布

从恶意App分布区域来看,广东省位居第一,占恶意App总量63.51%,其次是北京市,占恶意App总量11.66%,排在第三位的是湖北省,占恶意App总量5.48%。详见图9:

图9 病毒区域分布图

(四)应用商店存在恶意App

本次对来自596个应用商店的应用进行检测发现,多达457家应用商店都存在恶意程序App,这其中包括有大量用户及下载量的主流应用商店,且大渠道由于应用数量较多,存在恶意应用数量也较多。此外需要引起关注的是,一些非主流渠道,虽App总量不多但存在恶意程序的App占比较高。详见图10。

图10 收录恶意App占比TOP10

App嵌入SDK概况分析

App运营者为了节约开发成本、提高工作效率,一般都会使用多种第三方的SDK。而第三方的SDK开发侧重于功能性的完善,在安全性方面的投入较少,导致App使用第三方的SDK存在一些安全问题。29.46%的应用嵌入了SDK,其中近5成都是框架类型的SDK。

(一)游戏类嵌入SDK的应用数量最多

从嵌入第三方SDK的App所处行业类型来看,游戏类应用嵌入SDK的App数量最多,占比为23.85%,其次是生活服务类应用,有占比为18.16%;位列第三的是教育类应用,占比为15.46%。 详见图11:

图11 各类型应用嵌入SDK占比情况

(二)嵌入SDK的应用近三成来自广东

从嵌入第三方SDK的App所处区域来看,广东省嵌入SDK的应用数量最多,占嵌入SDK应用数量28.79%,其次是北京市的应用,占比为23.01%;位列第三的是上海市的应用,占比为11.47%。详见图12:

图12 各区域应用嵌入SDK占比情况

移动应用安全加固 意识亟待提高

随着移动端黑产的日益壮大,其逆向攻击手段也越发高明。App进行安全加固可有效阻止反汇编分析,防止被破解、二次打包、恶意篡改等,是维护App安全的重要防护手段。通过爱加密移动应用安全大数据平台检测发现, 仅有三成左右的App加固等级较高,仍有七成的App未进行过安全加固或者加固等级较低。

(一)发达城市App运营者安全意识强

通过对加固应用区域进行统计发现,北上广一线城市的应用加固数量较多,尤其是广东省和北京市,近半的加固应用都来自这两个区域。详见图13:

图13 加固应用区域分布图

(二)金融行业的App运营者安全意识最强

通过对加固应用行业进行统计发现,金融行业的App加固率最高,26.86%的金融应用都进行过安全加固,其次是医疗类App,加固率为25.72%,详见图14:

图14 加固应用行业占比情况

移动应用高危风险案例分析

(一)不可忽视的二次打包安全

应用包篡改后二次打包不仅严重威胁应用开发者的版权和经济利益,而且也使App用户遭受到不法应用的恶意侵害。对客户端程序添加或修改代码,修改客户端资源图片,配置信息、图标,添加广告,推广自己的产品,再生成新的客户端程序,可导致大量盗版应用的出现,减少正版开发者的收入;恶意的二次打包还能实现应用钓鱼、添加病毒代码、添加恶意代码,从而窃取登录账号密码、支付密码,拦截验证码短信,修改转账目标账号、金额等。

案例:这是某即时通讯的App,经过测试人员修改后,可以在应用的主界面中,嵌入提示信息。

添加成功后,回编译、签名,安装在手机上的效果如下:

图15 嵌入成功后软件截图

安全专家的修复建议:

1.通过第三方加固或开发者自行对应用包的源代码进行隐藏,防止查看修改。

2.程序运行时对应用包的MD5值进行合法性校验,发现盗版就异常退出。

(二)任意发送短信,小心短信炸弹

技术人员在对某疫情查控系统做检测时,发现此款App存在无限发送验证码短信的高危漏洞,这可能导致用户遭受短信的骚扰,具体内容如下:

1.设置代理,使用抓包工具抓取获取验证码的数据包;

2.使用抓包工具的重发功能,将数据包进行重发

观察服务器返回信息或者查看手机短信,连续调用短信接口200多次对不同手机号发送短信成功,存在恶意调用 接口发送短信的风险,造成短信发送平台花费大量的短信费用,且易造成骚扰短信,影响用户的正常生活。

(三)个人隐私风险

移动应用涵盖用户大量个人隐私性数据,一旦发生泄漏可能对个人、社会造成重大影响,同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用应该有效的保障用户的账号密码和个人信息数据安全,保护用户的个人隐私。如何保障移动应用的数据安全和数据隐私,成为了国内外移动应用安全技术亟待解决的问题。

案例:在对某直播类应用进行检测时,发现该应用存在获取用户短信信息、手机通讯录及地理位置等敏感信息行为。

通过对其收集短信信息服务器进行破解,获取到其收集大量用户短信内容的证据:

因此,随着国家与个人层面的信息安全威胁不断提升,移动应用安全必将成为安全领域中长期重点关注的话题。国家法规政策的密集落地,一方面,提高了政府、企业对网络信息安全的合规要求,另一方面,也促进了我国网络安全防护水平的进一步提升。移动信息安全,作为信创产业中关键的一部分,将不断支撑、推动新兴技术的稳步前进。

(完)