近日，由移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室(以下簡稱：國家工程實驗室)牽頭，中國信息通信研究院安全研究所(以下簡稱：信通院)和北京智游網(wǎng)安科技有限公司(以下簡稱：愛加密)一起參與，三方聯(lián)合發(fā)布了 《全國移動App 風(fēng)險監(jiān)測評估報告》(2020 年3季度版) 。

本次評估報告包括全國移動 App 安全概況、全國 App類型分布、金融類App分布概況、移動應(yīng)用個人信息安全案例分析、第三季度App風(fēng)險監(jiān)測評估總結(jié)等內(nèi)容。App 風(fēng)險監(jiān)測評估報告面向社會公眾免費發(fā)布，為行業(yè)用戶了解本行業(yè) App 安全提供了參考，也為個人用戶開啟了一扇了解當(dāng)下App 安全熱點的窗戶。

國家工程實驗室、信通院以及愛加密公司后續(xù)會加大合作，把“全國移動 App 風(fēng)險監(jiān)測評估”作為常態(tài)化合作內(nèi)容，風(fēng)險監(jiān)測評估報告每季度發(fā)布。

一、全國移動App概況

根據(jù)移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室(以下簡稱國家工程實驗室)、中國信息通信研究院安全研究所(以下簡稱信通院)和北京智游網(wǎng)安科技有限公司(以下簡稱愛加密)移動應(yīng)用大數(shù)據(jù)平臺提供的數(shù)據(jù)，截止9月底大數(shù)據(jù)平臺共計收錄Android應(yīng)用318萬款，其中 95% 以上存在高危漏洞威脅，近一成的App存在惡意行為， 31.88% 的App嵌入推送類的SDK。

(一)豌豆莢App數(shù)量占總量的8.12%

截止到本季度納入監(jiān)測的應(yīng)用渠道數(shù)量總計約800個，其中App數(shù)量排名前三列的分別是：豌豆莢，共計應(yīng)用708790款，占渠道總應(yīng)用數(shù)量的8.12%，相比第二季度下降了0.54%;360市場，共計639158款，占總應(yīng)用數(shù)量的7.33%;應(yīng)用寶，共計634734款，占總應(yīng)用數(shù)量的7.27%;以下是各渠道App排行前十的情況：

圖1 各渠道應(yīng)用排行TOP10

(二)高危漏洞呈逐漸增長趨勢

本次監(jiān)測過程主要對10類94項風(fēng)險漏洞進行分析，監(jiān)測發(fā)現(xiàn)95%以上的App存在漏洞。存在不同風(fēng)險等級漏洞的App占比如下：

圖2 不同風(fēng)險等級漏洞的App占比

約318萬款A(yù)ndroid最新版本應(yīng)用包通過移動應(yīng)用安全平臺進行風(fēng)險監(jiān)測，其中，有高危漏洞的App約290萬款，占應(yīng)用總數(shù)的99.41%。本季度排名前三的漏洞分別是： Janus漏洞、Java代碼加殼檢測、WebView遠程代碼執(zhí)行漏洞。 詳見下圖：

圖3 存在漏洞的App數(shù)量統(tǒng)計圖

(三)主要惡意程序風(fēng)險描述

本季度新增存在惡意程序的App7123款，其中惡意程序類型還是以流氓行為為主，這些惡意程序主要存在收集移動用戶的隱私數(shù)據(jù)、惡意扣費、流量資源消耗、系統(tǒng)破壞和廣告推送等多種惡意行為，對移動用戶的個人信息及財產(chǎn)安全帶來巨大的威脅。詳見下圖：

圖4 惡意程序類型統(tǒng)計表

(四)第三方SDK應(yīng)用廣泛，數(shù)據(jù)安全存在隱患

第三方SDK應(yīng)用廣泛，其自身安全性和收集使用個人信息的行為也存在隱患。監(jiān)測發(fā)現(xiàn)截止9月底，31.88%的App嵌入推送類的SDK，共計應(yīng)用521088款;18.91%的App嵌入統(tǒng)計類的SDK，共計應(yīng)用309099款;15.28%的App嵌入支付類的SDK，共計應(yīng)用249811款，詳見下圖：

圖5 不同類型SDK對應(yīng)的App分布情況

(五)各省份移動應(yīng)用加固情況相近

從加固App區(qū)域分布來看，北上廣地區(qū)App供應(yīng)商安全意識較強，加固數(shù)量最多。

圖6 加固App省份Top10

經(jīng)統(tǒng)計，進行安全加固的App覆蓋34個省份，其中安全加固App數(shù)量排名前三列的分別是：北京市占總量的28.37%，共計74695款A(yù)pp;廣東省占總量的23.60%，共計62115款A(yù)pp;上海占總量的6.57%，共計17293款A(yù)pp，以下是前十排名情況：

圖7 加固App數(shù)量省份占比前十分布

北京以28.37%的比重成為匯聚加固App數(shù)量最多的省份，與之反向的是香港、澳門，澳門成為加固App數(shù)量最少的省份。詳情如下：

圖8 加固App數(shù)量占比排名靠后情況

二、全國App類型分布

(一)生活實用類穩(wěn)居市場總應(yīng)用的首位

從全國功能分類應(yīng)用細分領(lǐng)域來看，生活實用類App在前三名中占領(lǐng)了第一名的位置，其中，生活實用類的App占市場應(yīng)用的15.42%，共計1298772款;辦公學(xué)習(xí)類的App占市場應(yīng)用的11.19%，共計942563款;休閑益智類的App占市場應(yīng)用的8.62%，共計726170款。不同細分領(lǐng)域App占比如下所示：

圖9 不同細分領(lǐng)域AppTop10數(shù)量及占比

(二)其他類型App分布情況

排名第4到第10的行業(yè)分別是資訊閱讀、金融理財、網(wǎng)上購物、系統(tǒng)工具、影音播放總和不超過41%。其中：資訊閱讀類App共計620522款，占總數(shù)的7.37%;金融理財類App共計603009款，占總數(shù)的7.16%;網(wǎng)上購物類App共計484582款，占比5.75%。詳情見下圖：

圖10 其他功能類型App數(shù)量

三、金融類App分布概況

(一) 超三成App分布在華東地區(qū)

金融類App遍布全國各地，有30179款可以根據(jù)區(qū)域劃分規(guī)則明確歸屬地，下列區(qū)域分布僅基于這30179款做分析。從大區(qū)來看，華南地區(qū)App產(chǎn)量位居第一，占App總量的31.53%;其次是華中地區(qū)，占總量的24.22%;華北地區(qū)位列第三，占總量的20.78%。詳見圖列：

圖11 App大區(qū)分布圖

(二) 廣東省App數(shù)量以31.34%的占比居全國第一

從省級區(qū)域來看，廣東省金融類App數(shù)量占全國總量的31.34%，位居第一;湖北市金融類App數(shù)量占全國總量的18.95%，位居第二;北京省金融類App數(shù)量占全國總量的9.05%，穩(wěn)居第三。以下是排名TOP10的情況：

圖12金融類App數(shù)量占比區(qū)域TOP10

四、本季度增量情況

(一) Android App數(shù)量7月份環(huán)比增長以倍數(shù)發(fā)展

本季度Android App數(shù)量共計151970個，從月度上看，本季度的兩個月Android App數(shù)量增速7月份環(huán)比增長最快，環(huán)比增加了 156.35% ，但8月新增應(yīng)用共計66071款，環(huán)比下降23.08%。詳見下圖：

圖13 月度環(huán)比增速圖

(二) 應(yīng)用監(jiān)測渠道增量情況

應(yīng)用監(jiān)測渠道7月增長較快

本季度應(yīng)用監(jiān)測新增渠道趨勢較平緩，應(yīng)用新增渠道共計35個，7月份新增21個渠道，8月份新增14個渠道。詳見下圖：

圖14 新增渠道情況

2.本季度教育類增量最多

從應(yīng)用行業(yè)上看，教育類仍是新增應(yīng)用的主要類別，占新增應(yīng)用33.83%;醫(yī)療衛(wèi)生類新增數(shù)量位列第二，占新增應(yīng)用17.08%;金融類新增數(shù)量位列第三，占新增應(yīng)用的15.74%;詳見下圖：

圖15 新增應(yīng)用行業(yè)Top10分布圖

五、移動應(yīng)用個人信息安全案例分析

4月27日，國家網(wǎng)信辦、發(fā)改委等12部門聯(lián)合發(fā)布 《網(wǎng)絡(luò)安全審查辦法》 ，今年6月1日起實施。網(wǎng)絡(luò)安全審查重點評估關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險，主要包括產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險;產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害等。

(一)某金融類App存在服務(wù)器會話數(shù)據(jù)未清除

技術(shù)人員測試用戶在客戶端App上點擊退出登錄操作時，向服務(wù)器請求清除在線的token等信息，發(fā)現(xiàn)服務(wù)器未進行清除。詳情如下：

用戶登錄成功后，在客戶端應(yīng)用軟件的設(shè)置界面點擊“退出”或“注銷”按鈕，此時對客戶端App的網(wǎng)絡(luò)請求進行抓包，檢測其是否向服務(wù)器請求了退出清除用戶在線狀態(tài)。

注銷賬號后仍然能夠正常獲取數(shù)據(jù)，說明服務(wù)器并未清除用戶的在線狀態(tài)。

修復(fù)建議：

當(dāng)用戶在本地界面點擊“注銷”時，App客戶端應(yīng)向服務(wù)器發(fā)送注銷用戶登錄狀態(tài)的請求，以清除服務(wù)器的token、cookies，防止用戶狀態(tài)被竊取。

(二)某金融類App的驗證碼可繞過漏洞

技術(shù)人員在對某款A(yù)pp進行反編譯時，發(fā)現(xiàn)此App存在可繞過驗證碼的驗證對手機號直接進行修改。詳情如下：

經(jīng)測試，修改手機號的步驟為先驗證原手機再設(shè)置新手機號，抓取第一步驗證當(dāng)前手機號的數(shù)據(jù)包。

攔截第一步驗證碼請求的返回數(shù)據(jù)包并篡改為表示驗證正確的狀態(tài)碼。

App界面繞過驗證碼驗證跳轉(zhuǎn)到綁定新手機的界面：

(三)傳輸過程中的數(shù)據(jù)被明文傳輸

經(jīng)檢測，發(fā)現(xiàn)部分App與服務(wù)器進行交互的過程中，傳輸較為敏感的信息，如登錄、注冊、支付、找回密碼、重置密碼等，如果客戶端沒有對本地鏈接SSL證書信息的校驗，即使使用了HTTPS的加密協(xié)議，也不可避免的被抓包分析，從而威脅業(yè)務(wù)層面的安全。詳情如下：

越獄手機中開啟SSL Kill Switch 2插件：

使用Fiddler對該APP的網(wǎng)絡(luò)接口進行抓包。

六、第三季度App風(fēng)險監(jiān)測評估總結(jié)

(一)重視App漏洞危害，提高風(fēng)險防范意識

從App漏洞監(jiān)測數(shù)據(jù)來看，已監(jiān)測的App中有95%以上存在高危漏洞，都有不同程度的損害用戶行為。在2020年上半年觀察到的攻擊中，80%攻擊使用2017年及更早時間報告和注冊的“舊漏洞”，超過20%的攻擊使用至少7年的高齡漏洞;而排名最高的“Janus漏洞”可以讓攻擊者繞過安卓系統(tǒng)的signature scheme V1簽名機制，直接對APP進行篡改。由于安卓系統(tǒng)的其他安全機制也是建立在簽名和校驗基礎(chǔ)之上，該漏洞相當(dāng)于繞過了安卓系統(tǒng)的整個安全機制。攻擊者可以在正常應(yīng)用中植入惡意代碼，替代原有的APP做下載、更新。安裝這些仿冒APP后，攻擊者可以竊取用戶的賬號、密碼等敏感信息;或者植入木馬病毒，導(dǎo)致手機被ROOT，甚至被遠程操控。

(二)各方越來越關(guān)注個人隱私保護，作為App運營企業(yè)要自律

App個人信息安全保護不僅是監(jiān)管部門的任務(wù)，它涉及多個主體，需要政府部門、App企業(yè)、SDK企業(yè)、手機企業(yè)、應(yīng)用商店企業(yè)、行業(yè)組織、研究機構(gòu)共同努力，形成個人信息保護的良好生態(tài)和強大合力。與此同時，作為App開發(fā)和運營企業(yè)要做好自律，企業(yè)是維護網(wǎng)絡(luò)安全的主體，為實現(xiàn)一些功能，在收集個人信息收集時要做好平衡、把握好度，在相關(guān)功能實現(xiàn)后，企業(yè)應(yīng)當(dāng)將如何保護個人信息作為核心競爭力。

近階段，因疫情等因素導(dǎo)致App大量增多，同時App在使用時產(chǎn)生的問題也逐漸增加，作為App的運營者，應(yīng)該要以身作則，明確自己的原則，注重App在運行過程中的維護以及后期的升級，其次，在提高運營人員的安全意識的同時，還要建立相關(guān)的 安全機制，做好App安全防御措施， 及時修補安全漏洞，防治App因漏洞的問題被惡意程序感染。

(三)網(wǎng)絡(luò)安全離不開安全技術(shù)和產(chǎn)業(yè)的支撐

沒有網(wǎng)絡(luò)安全就沒有國家安全 ，就沒有經(jīng)濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障。當(dāng)前，各種形式的網(wǎng)絡(luò)攻擊、不法入侵、惡意代碼、安全漏洞層出不窮，對關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、個人信息安全構(gòu)成嚴重威脅。網(wǎng)絡(luò)安全的本質(zhì)是技術(shù)對抗，保障網(wǎng)絡(luò)安全離不開網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)的有力支撐。

關(guān)鍵詞： 信息安全研究報告