近日，由移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室(以下簡(jiǎn)稱：國(guó)家工程實(shí)驗(yàn)室)牽頭，中國(guó)信息通信研究院安全研究所(以下簡(jiǎn)稱：信通院)和北京智游網(wǎng)安科技有限公司(以下簡(jiǎn)稱：愛(ài)加密)一起參與，三方聯(lián)合發(fā)布了 《全國(guó)移動(dòng)App 風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估報(bào)告》(2020 年3季度版) 。

本次評(píng)估報(bào)告包括全國(guó)移動(dòng) App 安全概況、全國(guó) App類(lèi)型分布、金融類(lèi)App分布概況、移動(dòng)應(yīng)用個(gè)人信息安全案例分析、第三季度App風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估總結(jié)等內(nèi)容。App 風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估報(bào)告面向社會(huì)公眾免費(fèi)發(fā)布，為行業(yè)用戶了解本行業(yè) App 安全提供了參考，也為個(gè)人用戶開(kāi)啟了一扇了解當(dāng)下App 安全熱點(diǎn)的窗戶。

國(guó)家工程實(shí)驗(yàn)室、信通院以及愛(ài)加密公司后續(xù)會(huì)加大合作，把“全國(guó)移動(dòng) App 風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估”作為常態(tài)化合作內(nèi)容，風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估報(bào)告每季度發(fā)布。

一、全國(guó)移動(dòng)App概況

根據(jù)移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室(以下簡(jiǎn)稱國(guó)家工程實(shí)驗(yàn)室)、中國(guó)信息通信研究院安全研究所(以下簡(jiǎn)稱信通院)和北京智游網(wǎng)安科技有限公司(以下簡(jiǎn)稱愛(ài)加密)移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)提供的數(shù)據(jù)，截止9月底大數(shù)據(jù)平臺(tái)共計(jì)收錄Android應(yīng)用318萬(wàn)款，其中 95% 以上存在高危漏洞威脅，近一成的App存在惡意行為， 31.88% 的App嵌入推送類(lèi)的SDK。

(一)豌豆莢App數(shù)量占總量的8.12%

截止到本季度納入監(jiān)測(cè)的應(yīng)用渠道數(shù)量總計(jì)約800個(gè)，其中App數(shù)量排名前三列的分別是：豌豆莢，共計(jì)應(yīng)用708790款，占渠道總應(yīng)用數(shù)量的8.12%，相比第二季度下降了0.54%;360市場(chǎng)，共計(jì)639158款，占總應(yīng)用數(shù)量的7.33%;應(yīng)用寶，共計(jì)634734款，占總應(yīng)用數(shù)量的7.27%;以下是各渠道App排行前十的情況：

圖1 各渠道應(yīng)用排行TOP10

(二)高危漏洞呈逐漸增長(zhǎng)趨勢(shì)

本次監(jiān)測(cè)過(guò)程主要對(duì)10類(lèi)94項(xiàng)風(fēng)險(xiǎn)漏洞進(jìn)行分析，監(jiān)測(cè)發(fā)現(xiàn)95%以上的App存在漏洞。存在不同風(fēng)險(xiǎn)等級(jí)漏洞的App占比如下：

圖2 不同風(fēng)險(xiǎn)等級(jí)漏洞的App占比

約318萬(wàn)款A(yù)ndroid最新版本應(yīng)用包通過(guò)移動(dòng)應(yīng)用安全平臺(tái)進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)，其中，有高危漏洞的App約290萬(wàn)款，占應(yīng)用總數(shù)的99.41%。本季度排名前三的漏洞分別是： Janus漏洞、Java代碼加殼檢測(cè)、WebView遠(yuǎn)程代碼執(zhí)行漏洞。 詳見(jiàn)下圖：

圖3 存在漏洞的App數(shù)量統(tǒng)計(jì)圖

(三)主要惡意程序風(fēng)險(xiǎn)描述

本季度新增存在惡意程序的App7123款，其中惡意程序類(lèi)型還是以流氓行為為主，這些惡意程序主要存在收集移動(dòng)用戶的隱私數(shù)據(jù)、惡意扣費(fèi)、流量資源消耗、系統(tǒng)破壞和廣告推送等多種惡意行為，對(duì)移動(dòng)用戶的個(gè)人信息及財(cái)產(chǎn)安全帶來(lái)巨大的威脅。詳見(jiàn)下圖：

圖4 惡意程序類(lèi)型統(tǒng)計(jì)表

(四)第三方SDK應(yīng)用廣泛，數(shù)據(jù)安全存在隱患

第三方SDK應(yīng)用廣泛，其自身安全性和收集使用個(gè)人信息的行為也存在隱患。監(jiān)測(cè)發(fā)現(xiàn)截止9月底，31.88%的App嵌入推送類(lèi)的SDK，共計(jì)應(yīng)用521088款;18.91%的App嵌入統(tǒng)計(jì)類(lèi)的SDK，共計(jì)應(yīng)用309099款;15.28%的App嵌入支付類(lèi)的SDK，共計(jì)應(yīng)用249811款，詳見(jiàn)下圖：

圖5 不同類(lèi)型SDK對(duì)應(yīng)的App分布情況

(五)各省份移動(dòng)應(yīng)用加固情況相近

從加固App區(qū)域分布來(lái)看，北上廣地區(qū)App供應(yīng)商安全意識(shí)較強(qiáng)，加固數(shù)量最多。

圖6 加固App省份Top10

經(jīng)統(tǒng)計(jì)，進(jìn)行安全加固的App覆蓋34個(gè)省份，其中安全加固App數(shù)量排名前三列的分別是：北京市占總量的28.37%，共計(jì)74695款A(yù)pp;廣東省占總量的23.60%，共計(jì)62115款A(yù)pp;上海占總量的6.57%，共計(jì)17293款A(yù)pp，以下是前十排名情況：

圖7 加固App數(shù)量省份占比前十分布

北京以28.37%的比重成為匯聚加固App數(shù)量最多的省份，與之反向的是香港、澳門(mén)，澳門(mén)成為加固App數(shù)量最少的省份。詳情如下：

圖8 加固App數(shù)量占比排名靠后情況

二、全國(guó)App類(lèi)型分布

(一)生活實(shí)用類(lèi)穩(wěn)居市場(chǎng)總應(yīng)用的首位

從全國(guó)功能分類(lèi)應(yīng)用細(xì)分領(lǐng)域來(lái)看，生活實(shí)用類(lèi)App在前三名中占領(lǐng)了第一名的位置，其中，生活實(shí)用類(lèi)的App占市場(chǎng)應(yīng)用的15.42%，共計(jì)1298772款;辦公學(xué)習(xí)類(lèi)的App占市場(chǎng)應(yīng)用的11.19%，共計(jì)942563款;休閑益智類(lèi)的App占市場(chǎng)應(yīng)用的8.62%，共計(jì)726170款。不同細(xì)分領(lǐng)域App占比如下所示：

圖9 不同細(xì)分領(lǐng)域AppTop10數(shù)量及占比

(二)其他類(lèi)型App分布情況

排名第4到第10的行業(yè)分別是資訊閱讀、金融理財(cái)、網(wǎng)上購(gòu)物、系統(tǒng)工具、影音播放總和不超過(guò)41%。其中：資訊閱讀類(lèi)App共計(jì)620522款，占總數(shù)的7.37%;金融理財(cái)類(lèi)App共計(jì)603009款，占總數(shù)的7.16%;網(wǎng)上購(gòu)物類(lèi)App共計(jì)484582款，占比5.75%。詳情見(jiàn)下圖：

圖10 其他功能類(lèi)型App數(shù)量

三、金融類(lèi)App分布概況

(一) 超三成App分布在華東地區(qū)

金融類(lèi)App遍布全國(guó)各地，有30179款可以根據(jù)區(qū)域劃分規(guī)則明確歸屬地，下列區(qū)域分布僅基于這30179款做分析。從大區(qū)來(lái)看，華南地區(qū)App產(chǎn)量位居第一，占App總量的31.53%;其次是華中地區(qū)，占總量的24.22%;華北地區(qū)位列第三，占總量的20.78%。詳見(jiàn)圖列：

圖11 App大區(qū)分布圖

(二) 廣東省App數(shù)量以31.34%的占比居全國(guó)第一

從省級(jí)區(qū)域來(lái)看，廣東省金融類(lèi)App數(shù)量占全國(guó)總量的31.34%，位居第一;湖北市金融類(lèi)App數(shù)量占全國(guó)總量的18.95%，位居第二;北京省金融類(lèi)App數(shù)量占全國(guó)總量的9.05%，穩(wěn)居第三。以下是排名TOP10的情況：

圖12金融類(lèi)App數(shù)量占比區(qū)域TOP10

四、本季度增量情況

(一) Android App數(shù)量7月份環(huán)比增長(zhǎng)以倍數(shù)發(fā)展

本季度Android App數(shù)量共計(jì)151970個(gè)，從月度上看，本季度的兩個(gè)月Android App數(shù)量增速7月份環(huán)比增長(zhǎng)最快，環(huán)比增加了 156.35% ，但8月新增應(yīng)用共計(jì)66071款，環(huán)比下降23.08%。詳見(jiàn)下圖：

圖13 月度環(huán)比增速圖

(二) 應(yīng)用監(jiān)測(cè)渠道增量情況

應(yīng)用監(jiān)測(cè)渠道7月增長(zhǎng)較快

本季度應(yīng)用監(jiān)測(cè)新增渠道趨勢(shì)較平緩，應(yīng)用新增渠道共計(jì)35個(gè)，7月份新增21個(gè)渠道，8月份新增14個(gè)渠道。詳見(jiàn)下圖：

圖14 新增渠道情況

2.本季度教育類(lèi)增量最多

從應(yīng)用行業(yè)上看，教育類(lèi)仍是新增應(yīng)用的主要類(lèi)別，占新增應(yīng)用33.83%;醫(yī)療衛(wèi)生類(lèi)新增數(shù)量位列第二，占新增應(yīng)用17.08%;金融類(lèi)新增數(shù)量位列第三，占新增應(yīng)用的15.74%;詳見(jiàn)下圖：

圖15 新增應(yīng)用行業(yè)Top10分布圖

五、移動(dòng)應(yīng)用個(gè)人信息安全案例分析

4月27日，國(guó)家網(wǎng)信辦、發(fā)改委等12部門(mén)聯(lián)合發(fā)布 《網(wǎng)絡(luò)安全審查辦法》 ，今年6月1日起實(shí)施。網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，主要包括產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn);產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害等。

(一)某金融類(lèi)App存在服務(wù)器會(huì)話數(shù)據(jù)未清除

技術(shù)人員測(cè)試用戶在客戶端App上點(diǎn)擊退出登錄操作時(shí)，向服務(wù)器請(qǐng)求清除在線的token等信息，發(fā)現(xiàn)服務(wù)器未進(jìn)行清除。詳情如下：

用戶登錄成功后，在客戶端應(yīng)用軟件的設(shè)置界面點(diǎn)擊“退出”或“注銷(xiāo)”按鈕，此時(shí)對(duì)客戶端App的網(wǎng)絡(luò)請(qǐng)求進(jìn)行抓包，檢測(cè)其是否向服務(wù)器請(qǐng)求了退出清除用戶在線狀態(tài)。

注銷(xiāo)賬號(hào)后仍然能夠正常獲取數(shù)據(jù)，說(shuō)明服務(wù)器并未清除用戶的在線狀態(tài)。

修復(fù)建議：

當(dāng)用戶在本地界面點(diǎn)擊“注銷(xiāo)”時(shí)，App客戶端應(yīng)向服務(wù)器發(fā)送注銷(xiāo)用戶登錄狀態(tài)的請(qǐng)求，以清除服務(wù)器的token、cookies，防止用戶狀態(tài)被竊取。

(二)某金融類(lèi)App的驗(yàn)證碼可繞過(guò)漏洞

技術(shù)人員在對(duì)某款A(yù)pp進(jìn)行反編譯時(shí)，發(fā)現(xiàn)此App存在可繞過(guò)驗(yàn)證碼的驗(yàn)證對(duì)手機(jī)號(hào)直接進(jìn)行修改。詳情如下：

經(jīng)測(cè)試，修改手機(jī)號(hào)的步驟為先驗(yàn)證原手機(jī)再設(shè)置新手機(jī)號(hào)，抓取第一步驗(yàn)證當(dāng)前手機(jī)號(hào)的數(shù)據(jù)包。

攔截第一步驗(yàn)證碼請(qǐng)求的返回?cái)?shù)據(jù)包并篡改為表示驗(yàn)證正確的狀態(tài)碼。

App界面繞過(guò)驗(yàn)證碼驗(yàn)證跳轉(zhuǎn)到綁定新手機(jī)的界面：

(三)傳輸過(guò)程中的數(shù)據(jù)被明文傳輸

經(jīng)檢測(cè)，發(fā)現(xiàn)部分App與服務(wù)器進(jìn)行交互的過(guò)程中，傳輸較為敏感的信息，如登錄、注冊(cè)、支付、找回密碼、重置密碼等，如果客戶端沒(méi)有對(duì)本地鏈接SSL證書(shū)信息的校驗(yàn)，即使使用了HTTPS的加密協(xié)議，也不可避免的被抓包分析，從而威脅業(yè)務(wù)層面的安全。詳情如下：

越獄手機(jī)中開(kāi)啟SSL Kill Switch 2插件：

使用Fiddler對(duì)該APP的網(wǎng)絡(luò)接口進(jìn)行抓包。

六、第三季度App風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估總結(jié)

(一)重視App漏洞危害，提高風(fēng)險(xiǎn)防范意識(shí)

從App漏洞監(jiān)測(cè)數(shù)據(jù)來(lái)看，已監(jiān)測(cè)的App中有95%以上存在高危漏洞，都有不同程度的損害用戶行為。在2020年上半年觀察到的攻擊中，80%攻擊使用2017年及更早時(shí)間報(bào)告和注冊(cè)的“舊漏洞”，超過(guò)20%的攻擊使用至少7年的高齡漏洞;而排名最高的“Janus漏洞”可以讓攻擊者繞過(guò)安卓系統(tǒng)的signature scheme V1簽名機(jī)制，直接對(duì)APP進(jìn)行篡改。由于安卓系統(tǒng)的其他安全機(jī)制也是建立在簽名和校驗(yàn)基礎(chǔ)之上，該漏洞相當(dāng)于繞過(guò)了安卓系統(tǒng)的整個(gè)安全機(jī)制。攻擊者可以在正常應(yīng)用中植入惡意代碼，替代原有的APP做下載、更新。安裝這些仿冒APP后，攻擊者可以竊取用戶的賬號(hào)、密碼等敏感信息;或者植入木馬病毒，導(dǎo)致手機(jī)被ROOT，甚至被遠(yuǎn)程操控。

(二)各方越來(lái)越關(guān)注個(gè)人隱私保護(hù)，作為App運(yùn)營(yíng)企業(yè)要自律

App個(gè)人信息安全保護(hù)不僅是監(jiān)管部門(mén)的任務(wù)，它涉及多個(gè)主體，需要政府部門(mén)、App企業(yè)、SDK企業(yè)、手機(jī)企業(yè)、應(yīng)用商店企業(yè)、行業(yè)組織、研究機(jī)構(gòu)共同努力，形成個(gè)人信息保護(hù)的良好生態(tài)和強(qiáng)大合力。與此同時(shí)，作為App開(kāi)發(fā)和運(yùn)營(yíng)企業(yè)要做好自律，企業(yè)是維護(hù)網(wǎng)絡(luò)安全的主體，為實(shí)現(xiàn)一些功能，在收集個(gè)人信息收集時(shí)要做好平衡、把握好度，在相關(guān)功能實(shí)現(xiàn)后，企業(yè)應(yīng)當(dāng)將如何保護(hù)個(gè)人信息作為核心競(jìng)爭(zhēng)力。

近階段，因疫情等因素導(dǎo)致App大量增多，同時(shí)App在使用時(shí)產(chǎn)生的問(wèn)題也逐漸增加，作為App的運(yùn)營(yíng)者，應(yīng)該要以身作則，明確自己的原則，注重App在運(yùn)行過(guò)程中的維護(hù)以及后期的升級(jí)，其次，在提高運(yùn)營(yíng)人員的安全意識(shí)的同時(shí)，還要建立相關(guān)的 安全機(jī)制，做好App安全防御措施， 及時(shí)修補(bǔ)安全漏洞，防治App因漏洞的問(wèn)題被惡意程序感染。

(三)網(wǎng)絡(luò)安全離不開(kāi)安全技術(shù)和產(chǎn)業(yè)的支撐

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全 ，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障。當(dāng)前，各種形式的網(wǎng)絡(luò)攻擊、不法入侵、惡意代碼、安全漏洞層出不窮，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、個(gè)人信息安全構(gòu)成嚴(yán)重威脅。網(wǎng)絡(luò)安全的本質(zhì)是技術(shù)對(duì)抗，保障網(wǎng)絡(luò)安全離不開(kāi)網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)的有力支撐。

關(guān)鍵詞： 信息安全研究報(bào)告