全國移動App第三季度安全研究報告

　　原標題：全國移動App第三季度安全研究報告

 

　　近日，由移動網際網路系統與應用安全國家工程實驗室（以下簡稱：國家工程實驗室）牽頭，中國信息通信研究院安全研究所（以下簡稱：信通院）和北京智遊網安科技有限公司（以下簡稱：愛加密）一起參與，三方聯合發布了 《全國移動App 風險監測評估報告》（2020 年3季度版） 。

 

　　本次評估報告包括全國移動 App 安全概況、全國 App類型分布、金融類App分布概況、移動應用個人信息安全案例分析、第三季度App風險監測評估總結等內容。App 風險監測評估報告面向社會公眾免費發布，為行業用戶了解本行業 App 安全提供了參考，也為個人用戶開啟了一扇了解當下App 安全熱點的窗戶。

 

　　國家工程實驗室、信通院以及愛加密公司後續會加大合作，把「全國移動 App 風險監測評估」作為常態化合作內容，風險監測評估報告每季度發布。

 

　　一、全國移動App概況

 

　　根據移動網際網路系統與應用安全國家工程實驗室（以下簡稱國家工程實驗室）、中國信息通信研究院安全研究所（以下簡稱信通院）和北京智遊網安科技有限公司（以下簡稱愛加密）移動應用大數據平臺提供的數據，截止9月底大數據平臺共計收錄Android應用318萬款，其中 95% 以上存在高危漏洞威脅，近一成的App存在惡意行為， 31.88% 的App嵌入推送類的SDK。

 

　　（一）豌豆莢App數量佔總量的8.12%

 

　　截止到本季度納入監測的應用渠道數量總計約800個，其中App數量排名前三列的分別是：豌豆莢，共計應用708790款，佔渠道總應用數量的8.12%，相比第二季度下降了0.54%；360市場，共計639158款，佔總應用數量的7.33%；應用寶，共計634734款，佔總應用數量的7.27%；以下是各渠道App排行前十的情況：

　　圖1 各渠道應用排行TOP10

 

　　（二）高危漏洞呈逐漸增長趨勢

 

　　本次監測過程主要對10類94項風險漏洞進行分析，監測發現95%以上的App存在漏洞。存在不同風險等級漏洞的App佔比如下：

 

    圖2 不同風險等級漏洞的App佔比

    約318萬款Android最新版本應用包通過移動應用安全平臺進行風險監測，其中，有高危漏洞的App約290萬款，佔應用總數的99.41%。本季度排名前三的漏洞分別是： Janus漏洞、Java代碼加殼檢測、WebView遠程代碼執行漏洞。 詳見下圖：

　　圖3 存在漏洞的App數量統計圖

 

　　（三）主要惡意程序風險描述

 

　　本季度新增存在惡意程序的App7123款，其中惡意程序類型還是以流氓行為為主，這些惡意程序主要存在收集移動用戶的隱私數據、惡意扣費、流量資源消耗、系統破壞和廣告推送等多種惡意行為，對移動用戶的個人信息及財產安全帶來巨大的威脅。詳見下圖：

　　圖4 惡意程序類型統計表

 

　　（四）第三方SDK應用廣泛，數據安全存在隱患

 

　　第三方SDK應用廣泛，其自身安全性和收集使用個人信息的行為也存在隱患。監測發現截止9月底，31.88%的App嵌入推送類的SDK，共計應用521088款；18.91%的App嵌入統計類的SDK，共計應用309099款；15.28%的App嵌入支付類的SDK，共計應用249811款，詳見下圖：

 

　　圖5 不同類型SDK對應的App分布情況

 

　　（五）各省份移動應用加固情況相近

 

　　從加固App區域分布來看，北上廣地區App供應商安全意識較強，加固數量最多。

 

    圖6 加固App省份Top10

    經統計，進行安全加固的App覆蓋34個省份，其中安全加固App數量排名前三列的分別是：北京市佔總量的28.37%，共計74695款App；廣東省佔總量的23.60%，共計62115款App；上海佔總量的6.57%，共計17293款App，以下是前十排名情況：

    圖7 加固App數量省份佔比前十分布

    北京以28.37%的比重成為匯聚加固App數量最多的省份，與之反向的是香港、澳門，澳門成為加固App數量最少的省份。詳情如下：

　　圖8 加固App數量佔比排名靠後情況

 

　　二、全國App類型分布

 

　　（一）生活實用類穩居市場總應用的首位

 

　　從全國功能分類應用細分領域來看，生活實用類App在前三名中佔領了第一名的位置，其中，生活實用類的App佔市場應用的15.42%，共計1298772款；辦公學習類的App佔市場應用的11.19%，共計942563款；休閒益智類的App佔市場應用的8.62%，共計726170款。不同細分領域App佔比如下所示：

 

　　圖9 不同細分領域AppTop10數量及佔比

 

　　（二）其他類型App分布情況

 

　　排名第4到第10的行業分別是資訊閱讀、金融理財、網上購物、系統工具、影音播放總和不超過41%。其中：資訊閱讀類App共計620522款，佔總數的7.37%；金融理財類App共計603009款，佔總數的7.16%；網上購物類App共計484582款，佔比5.75%。詳情見下圖：

 

　　圖10 其他功能類型App數量

 

　　三、金融類App分布概況

 

　　（一） 超三成App分布在華東地區

 

　　金融類App遍布全國各地，有30179款可以根據區域劃分規則明確歸屬地，下列區域分布僅基於這30179款做分析。從大區來看，華南地區App產量位居第一，佔App總量的31.53%；其次是華中地區，佔總量的24.22%；華北地區位列第三，佔總量的20.78%。詳見圖列：

　　圖11 App大區分布圖

 

　　（二） 廣東省App數量以31.34%的佔比居全國第一

 

　　從省級區域來看，廣東省金融類App數量佔全國總量的31.34%，位居第一；湖北市金融類App數量佔全國總量的18.95%，位居第二；北京省金融類App數量佔全國總量的9.05%，穩居第三。以下是排名TOP10的情況：

　　圖12 金融類App數量佔比區域TOP10

 

　　四、本季度增量情況

 

　　（一） Android App數量7月份環比增長以倍數發展

 

　　本季度Android App數量共計151970個，從月度上看，本季度的兩個月Android App數量增速7月份環比增長最快，環比增加了 156.35% ，但8月新增應用共計66071款，環比下降23.08%。詳見下圖：

　　圖13 月度環比增速圖

 

　　（二） 應用監測渠道增量情況

 

　　應用監測渠道7月增長較快

 

　　本季度應用監測新增渠道趨勢較平緩，應用新增渠道共計35個，7月份新增21個渠道，8月份新增14個渠道。詳見下圖：

　　圖14 新增渠道情況

 

　　2.本季度教育類增量最多

 

　　從應用行業上看，教育類仍是新增應用的主要類別，佔新增應用33.83%；醫療衛生類新增數量位列第二，佔新增應用17.08%；金融類新增數量位列第三，佔新增應用的15.74%；詳見下圖：

 

　　圖15 新增應用行業Top10分布圖

 

　　五、移動應用個人信息安全案例分析

 

　　4月27日，國家網信辦、發改委等12部門聯合發布 《網絡安全審查辦法》 ，今年6月1日起實施。網絡安全審查重點評估關鍵信息基礎設施運營者採購網絡產品和服務可能帶來的國家安全風險，主要包括產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或破壞，以及重要數據被竊取、洩露、毀損的風險；產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害等。

 

　　（一）某金融類App存在伺服器會話數據未清除

 

　　技術人員測試用戶在客戶端App上點擊退出登錄操作時，向伺服器請求清除在線的token等信息，發現伺服器未進行清除。詳情如下：

 

　　用戶登錄成功後，在客戶端應用軟體的設置界面點擊「退出」或「註銷」按鈕，此時對客戶端App的網絡請求進行抓包，檢測其是否向伺服器請求了退出清除用戶在線狀態。

 

　　註銷帳號後仍然能夠正常獲取數據，說明伺服器並未清除用戶的在線狀態。

 

　　修復建議：

 

　　當用戶在本地界面點擊「註銷」時，App客戶端應向伺服器發送註銷用戶登錄狀態的請求，以清除伺服器的token、cookies，防止用戶狀態被竊取。

 

　　（二）某金融類App的驗證碼可繞過漏洞

 

　　技術人員在對某款App進行反編譯時，發現此App存在可繞過驗證碼的驗證對手機號直接進行修改。詳情如下：

 

　　經測試，修改手機號的步驟為先驗證原手機再設置新手機號，抓取第一步驗證當前手機號的數據包。

    攔截第一步驗證碼請求的返回數據包並篡改為表示驗證正確的狀態碼。

    App界面繞過驗證碼驗證跳轉到綁定新手機的界面：

　　（三）傳輸過程中的數據被明文傳輸

 

　　經檢測，發現部分App與伺服器進行交互的過程中，傳輸較為敏感的信息，如登錄、註冊、支付、找回密碼、重置密碼等，如果客戶端沒有對本地連結SSL證書信息的校驗，即使使用了HTTPS的加密協議，也不可避免的被抓包分析，從而威脅業務層面的安全。詳情如下：

 

　　越獄手機中開啟SSL Kill Switch 2插件：

    使用Fiddler對該APP的網絡接口進行抓包。

　　六、第三季度App風險監測評估總結

 

　　（一）重視App漏洞危害，提高風險防範意識

 

　　從App漏洞監測數據來看，已監測的App中有95%以上存在高危漏洞，都有不同程度的損害用戶行為。在2020年上半年觀察到的攻擊中，80%攻擊使用2017年及更早時間報告和註冊的「舊漏洞」，超過20%的攻擊使用至少7年的高齡漏洞；而排名最高的「Janus漏洞」可以讓攻擊者繞過安卓系統的signature scheme V1籤名機制，直接對APP進行篡改。由於安卓系統的其他安全機制也是建立在籤名和校驗基礎之上，該漏洞相當於繞過了安卓系統的整個安全機制。攻擊者可以在正常應用中植入惡意代碼，替代原有的APP做下載、更新。安裝這些仿冒APP後，攻擊者可以竊取用戶的帳號、密碼等敏感信息；或者植入木馬病毒，導致手機被ROOT，甚至被遠程操控。

 

　　（二）各方越來越關注個人隱私保護，作為App運營企業要自律

 

　　App個人信息安全保護不僅是監管部門的任務，它涉及多個主體，需要政府部門、App企業、SDK企業、手機企業、應用商店企業、行業組織、研究機構共同努力，形成個人信息保護的良好生態和強大合力。與此同時，作為App開發和運營企業要做好自律，企業是維護網絡安全的主體，為實現一些功能，在收集個人信息收集時要做好平衡、把握好度，在相關功能實現後，企業應當將如何保護個人信息作為核心競爭力。

 

　　近階段，因疫情等因素導致App大量增多，同時App在使用時產生的問題也逐漸增加，作為App的運營者，應該要以身作則，明確自己的原則，注重App在運行過程中的維護以及後期的升級，其次，在提高運營人員的安全意識的同時，還要建立相關的 安全機制，做好App安全防禦措施， 及時修補安全漏洞，防治App因漏洞的問題被惡意程序感染。

 

　　（三）網絡安全離不開安全技術和產業的支撐

 

　　沒有網絡安全就沒有國家安全 ，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。當前，各種形式的網絡攻擊、不法入侵、惡意代碼、安全漏洞層出不窮，對關鍵信息基礎設施安全、數據安全、個人信息安全構成嚴重威脅。網絡安全的本質是技術對抗，保障網絡安全離不開網絡安全技術和產業的有力支撐。