近日，由移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室(以下簡稱：國家工程實(shí)驗(yàn)室)牽頭，中國信息通信研究院安全研究所(以下簡稱：信通院)和北京智游網(wǎng)安科技有限公司(以下簡稱：愛加密)一起參與，三方聯(lián)合發(fā)布了 《全國移動(dòng)App 風(fēng)險(xiǎn)監(jiān)測評估報(bào)告》(2020 年3季度版) 。

本次評估報(bào)告包括全國移動(dòng) App 安全概況、全國 App類型分布、金融類App分布概況、移動(dòng)應(yīng)用個(gè)人信息安全案例分析、第三季度App風(fēng)險(xiǎn)監(jiān)測評估總結(jié)等內(nèi)容。App 風(fēng)險(xiǎn)監(jiān)測評估報(bào)告面向社會(huì)公眾免費(fèi)發(fā)布，為行業(yè)用戶了解本行業(yè) App 安全提供了參考，也為個(gè)人用戶開啟了一扇了解當(dāng)下App 安全熱點(diǎn)的窗戶。

國家工程實(shí)驗(yàn)室、信通院以及愛加密公司后續(xù)會(huì)加大合作，把“全國移動(dòng) App 風(fēng)險(xiǎn)監(jiān)測評估”作為常態(tài)化合作內(nèi)容，風(fēng)險(xiǎn)監(jiān)測評估報(bào)告每季度發(fā)布。

一、全國移動(dòng)App概況

根據(jù)移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室(以下簡稱國家工程實(shí)驗(yàn)室)、中國信息通信研究院安全研究所(以下簡稱信通院)和北京智游網(wǎng)安科技有限公司(以下簡稱愛加密)移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)提供的數(shù)據(jù)，截止9月底大數(shù)據(jù)平臺(tái)共計(jì)收錄Android應(yīng)用318萬款，其中 95% 以上存在高危漏洞威脅，近一成的App存在惡意行為， 31.88% 的App嵌入推送類的SDK。

(一)豌豆莢App數(shù)量占總量的8.12%

截止到本季度納入監(jiān)測的應(yīng)用渠道數(shù)量總計(jì)約800個(gè)，其中App數(shù)量排名前三列的分別是：豌豆莢，共計(jì)應(yīng)用708790款，占渠道總應(yīng)用數(shù)量的8.12%，相比第二季度下降了0.54%;360市場，共計(jì)639158款，占總應(yīng)用數(shù)量的7.33%;應(yīng)用寶，共計(jì)634734款，占總應(yīng)用數(shù)量的7.27%;以下是各渠道App排行前十的情況：

圖1 各渠道應(yīng)用排行TOP10

(二)高危漏洞呈逐漸增長趨勢

本次監(jiān)測過程主要對10類94項(xiàng)風(fēng)險(xiǎn)漏洞進(jìn)行分析，監(jiān)測發(fā)現(xiàn)95%以上的App存在漏洞。存在不同風(fēng)險(xiǎn)等級漏洞的App占比如下：

圖2 不同風(fēng)險(xiǎn)等級漏洞的App占比

約318萬款A(yù)ndroid最新版本應(yīng)用包通過移動(dòng)應(yīng)用安全平臺(tái)進(jìn)行風(fēng)險(xiǎn)監(jiān)測，其中，有高危漏洞的App約290萬款，占應(yīng)用總數(shù)的99.41%。本季度排名前三的漏洞分別是： Janus漏洞、Java代碼加殼檢測、WebView遠(yuǎn)程代碼執(zhí)行漏洞。 詳見下圖：

圖3 存在漏洞的App數(shù)量統(tǒng)計(jì)圖

(三)主要惡意程序風(fēng)險(xiǎn)描述

本季度新增存在惡意程序的App7123款，其中惡意程序類型還是以流氓行為為主，這些惡意程序主要存在收集移動(dòng)用戶的隱私數(shù)據(jù)、惡意扣費(fèi)、流量資源消耗、系統(tǒng)破壞和廣告推送等多種惡意行為，對移動(dòng)用戶的個(gè)人信息及財(cái)產(chǎn)安全帶來巨大的威脅。詳見下圖：

圖4 惡意程序類型統(tǒng)計(jì)表

(四)第三方SDK應(yīng)用廣泛，數(shù)據(jù)安全存在隱患

第三方SDK應(yīng)用廣泛，其自身安全性和收集使用個(gè)人信息的行為也存在隱患。監(jiān)測發(fā)現(xiàn)截止9月底，31.88%的App嵌入推送類的SDK，共計(jì)應(yīng)用521088款;18.91%的App嵌入統(tǒng)計(jì)類的SDK，共計(jì)應(yīng)用309099款;15.28%的App嵌入支付類的SDK，共計(jì)應(yīng)用249811款，詳見下圖：

圖5 不同類型SDK對應(yīng)的App分布情況

(五)各省份移動(dòng)應(yīng)用加固情況相近

從加固App區(qū)域分布來看，北上廣地區(qū)App供應(yīng)商安全意識(shí)較強(qiáng)，加固數(shù)量最多。

圖6 加固App省份Top10

經(jīng)統(tǒng)計(jì)，進(jìn)行安全加固的App覆蓋34個(gè)省份，其中安全加固App數(shù)量排名前三列的分別是：北京市占總量的28.37%，共計(jì)74695款A(yù)pp;廣東省占總量的23.60%，共計(jì)62115款A(yù)pp;上海占總量的6.57%，共計(jì)17293款A(yù)pp，以下是前十排名情況：

圖7 加固App數(shù)量省份占比前十分布

北京以28.37%的比重成為匯聚加固App數(shù)量最多的省份，與之反向的是香港、澳門，澳門成為加固App數(shù)量最少的省份。詳情如下：

圖8 加固App數(shù)量占比排名靠后情況

二、全國App類型分布

(一)生活實(shí)用類穩(wěn)居市場總應(yīng)用的首位

從全國功能分類應(yīng)用細(xì)分領(lǐng)域來看，生活實(shí)用類App在前三名中占領(lǐng)了第一名的位置，其中，生活實(shí)用類的App占市場應(yīng)用的15.42%，共計(jì)1298772款;辦公學(xué)習(xí)類的App占市場應(yīng)用的11.19%，共計(jì)942563款;休閑益智類的App占市場應(yīng)用的8.62%，共計(jì)726170款。不同細(xì)分領(lǐng)域App占比如下所示：

圖9 不同細(xì)分領(lǐng)域AppTop10數(shù)量及占比

(二)其他類型App分布情況

排名第4到第10的行業(yè)分別是資訊閱讀、金融理財(cái)、網(wǎng)上購物、系統(tǒng)工具、影音播放總和不超過41%。其中：資訊閱讀類App共計(jì)620522款，占總數(shù)的7.37%;金融理財(cái)類App共計(jì)603009款，占總數(shù)的7.16%;網(wǎng)上購物類App共計(jì)484582款，占比5.75%。詳情見下圖：

圖10 其他功能類型App數(shù)量

三、金融類App分布概況

(一) 超三成App分布在華東地區(qū)

金融類App遍布全國各地，有30179款可以根據(jù)區(qū)域劃分規(guī)則明確歸屬地，下列區(qū)域分布僅基于這30179款做分析。從大區(qū)來看，華南地區(qū)App產(chǎn)量位居第一，占App總量的31.53%;其次是華中地區(qū)，占總量的24.22%;華北地區(qū)位列第三，占總量的20.78%。詳見圖列：

圖11 App大區(qū)分布圖

(二) 廣東省App數(shù)量以31.34%的占比居全國第一

從省級區(qū)域來看，廣東省金融類App數(shù)量占全國總量的31.34%，位居第一;湖北市金融類App數(shù)量占全國總量的18.95%，位居第二;北京省金融類App數(shù)量占全國總量的9.05%，穩(wěn)居第三。以下是排名TOP10的情況：

圖12金融類App數(shù)量占比區(qū)域TOP10

四、本季度增量情況

(一) Android App數(shù)量7月份環(huán)比增長以倍數(shù)發(fā)展

本季度Android App數(shù)量共計(jì)151970個(gè)，從月度上看，本季度的兩個(gè)月Android App數(shù)量增速7月份環(huán)比增長最快，環(huán)比增加了 156.35% ，但8月新增應(yīng)用共計(jì)66071款，環(huán)比下降23.08%。詳見下圖：

圖13 月度環(huán)比增速圖

(二) 應(yīng)用監(jiān)測渠道增量情況

應(yīng)用監(jiān)測渠道7月增長較快

本季度應(yīng)用監(jiān)測新增渠道趨勢較平緩，應(yīng)用新增渠道共計(jì)35個(gè)，7月份新增21個(gè)渠道，8月份新增14個(gè)渠道。詳見下圖：

圖14 新增渠道情況

2.本季度教育類增量最多

從應(yīng)用行業(yè)上看，教育類仍是新增應(yīng)用的主要類別，占新增應(yīng)用33.83%;醫(yī)療衛(wèi)生類新增數(shù)量位列第二，占新增應(yīng)用17.08%;金融類新增數(shù)量位列第三，占新增應(yīng)用的15.74%;詳見下圖：

圖15 新增應(yīng)用行業(yè)Top10分布圖

五、移動(dòng)應(yīng)用個(gè)人信息安全案例分析

4月27日，國家網(wǎng)信辦、發(fā)改委等12部門聯(lián)合發(fā)布 《網(wǎng)絡(luò)安全審查辦法》 ，今年6月1日起實(shí)施。網(wǎng)絡(luò)安全審查重點(diǎn)評估關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險(xiǎn)，主要包括產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn);產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害等。

(一)某金融類App存在服務(wù)器會(huì)話數(shù)據(jù)未清除

技術(shù)人員測試用戶在客戶端App上點(diǎn)擊退出登錄操作時(shí)，向服務(wù)器請求清除在線的token等信息，發(fā)現(xiàn)服務(wù)器未進(jìn)行清除。詳情如下：

用戶登錄成功后，在客戶端應(yīng)用軟件的設(shè)置界面點(diǎn)擊“退出”或“注銷”按鈕，此時(shí)對客戶端App的網(wǎng)絡(luò)請求進(jìn)行抓包，檢測其是否向服務(wù)器請求了退出清除用戶在線狀態(tài)。

注銷賬號(hào)后仍然能夠正常獲取數(shù)據(jù)，說明服務(wù)器并未清除用戶的在線狀態(tài)。

修復(fù)建議：

當(dāng)用戶在本地界面點(diǎn)擊“注銷”時(shí)，App客戶端應(yīng)向服務(wù)器發(fā)送注銷用戶登錄狀態(tài)的請求，以清除服務(wù)器的token、cookies，防止用戶狀態(tài)被竊取。

(二)某金融類App的驗(yàn)證碼可繞過漏洞

技術(shù)人員在對某款A(yù)pp進(jìn)行反編譯時(shí)，發(fā)現(xiàn)此App存在可繞過驗(yàn)證碼的驗(yàn)證對手機(jī)號(hào)直接進(jìn)行修改。詳情如下：

經(jīng)測試，修改手機(jī)號(hào)的步驟為先驗(yàn)證原手機(jī)再設(shè)置新手機(jī)號(hào)，抓取第一步驗(yàn)證當(dāng)前手機(jī)號(hào)的數(shù)據(jù)包。

攔截第一步驗(yàn)證碼請求的返回?cái)?shù)據(jù)包并篡改為表示驗(yàn)證正確的狀態(tài)碼。

App界面繞過驗(yàn)證碼驗(yàn)證跳轉(zhuǎn)到綁定新手機(jī)的界面：

(三)傳輸過程中的數(shù)據(jù)被明文傳輸

經(jīng)檢測，發(fā)現(xiàn)部分App與服務(wù)器進(jìn)行交互的過程中，傳輸較為敏感的信息，如登錄、注冊、支付、找回密碼、重置密碼等，如果客戶端沒有對本地鏈接SSL證書信息的校驗(yàn)，即使使用了HTTPS的加密協(xié)議，也不可避免的被抓包分析，從而威脅業(yè)務(wù)層面的安全。詳情如下：

越獄手機(jī)中開啟SSL Kill Switch 2插件：

使用Fiddler對該APP的網(wǎng)絡(luò)接口進(jìn)行抓包。

六、第三季度App風(fēng)險(xiǎn)監(jiān)測評估總結(jié)

(一)重視App漏洞危害，提高風(fēng)險(xiǎn)防范意識(shí)

從App漏洞監(jiān)測數(shù)據(jù)來看，已監(jiān)測的App中有95%以上存在高危漏洞，都有不同程度的損害用戶行為。在2020年上半年觀察到的攻擊中，80%攻擊使用2017年及更早時(shí)間報(bào)告和注冊的“舊漏洞”，超過20%的攻擊使用至少7年的高齡漏洞;而排名最高的“Janus漏洞”可以讓攻擊者繞過安卓系統(tǒng)的signature scheme V1簽名機(jī)制，直接對APP進(jìn)行篡改。由于安卓系統(tǒng)的其他安全機(jī)制也是建立在簽名和校驗(yàn)基礎(chǔ)之上，該漏洞相當(dāng)于繞過了安卓系統(tǒng)的整個(gè)安全機(jī)制。攻擊者可以在正常應(yīng)用中植入惡意代碼，替代原有的APP做下載、更新。安裝這些仿冒APP后，攻擊者可以竊取用戶的賬號(hào)、密碼等敏感信息;或者植入木馬病毒，導(dǎo)致手機(jī)被ROOT，甚至被遠(yuǎn)程操控。

(二)各方越來越關(guān)注個(gè)人隱私保護(hù)，作為App運(yùn)營企業(yè)要自律

App個(gè)人信息安全保護(hù)不僅是監(jiān)管部門的任務(wù)，它涉及多個(gè)主體，需要政府部門、App企業(yè)、SDK企業(yè)、手機(jī)企業(yè)、應(yīng)用商店企業(yè)、行業(yè)組織、研究機(jī)構(gòu)共同努力，形成個(gè)人信息保護(hù)的良好生態(tài)和強(qiáng)大合力。與此同時(shí)，作為App開發(fā)和運(yùn)營企業(yè)要做好自律，企業(yè)是維護(hù)網(wǎng)絡(luò)安全的主體，為實(shí)現(xiàn)一些功能，在收集個(gè)人信息收集時(shí)要做好平衡、把握好度，在相關(guān)功能實(shí)現(xiàn)后，企業(yè)應(yīng)當(dāng)將如何保護(hù)個(gè)人信息作為核心競爭力。

近階段，因疫情等因素導(dǎo)致App大量增多，同時(shí)App在使用時(shí)產(chǎn)生的問題也逐漸增加，作為App的運(yùn)營者，應(yīng)該要以身作則，明確自己的原則，注重App在運(yùn)行過程中的維護(hù)以及后期的升級，其次，在提高運(yùn)營人員的安全意識(shí)的同時(shí)，還要建立相關(guān)的 安全機(jī)制，做好App安全防御措施， 及時(shí)修補(bǔ)安全漏洞，防治App因漏洞的問題被惡意程序感染。

(三)網(wǎng)絡(luò)安全離不開安全技術(shù)和產(chǎn)業(yè)的支撐

沒有網(wǎng)絡(luò)安全就沒有國家安全 ，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障。當(dāng)前，各種形式的網(wǎng)絡(luò)攻擊、不法入侵、惡意代碼、安全漏洞層出不窮，對關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、個(gè)人信息安全構(gòu)成嚴(yán)重威脅。網(wǎng)絡(luò)安全的本質(zhì)是技術(shù)對抗，保障網(wǎng)絡(luò)安全離不開網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)的有力支撐。

關(guān)鍵詞： 信息安全研究報(bào)告