2015年,CNNIC统计显示我国手机网民规模达6.20亿,手机上网人群的占比提升至90% 。随着移动端用户群体的快速扩张,除了一开始就注重移动市场的新互联网企业之外,传统企业也正不断提高对移动端的重视程度并加大投入,移动端市场的竞争呈现白热化趋势。
截止2015年12月31日,安卓APP总体数量已超过140万。据Yahoo Flurry 统计分析,2015年安卓APP整体同比增长超过14%,其中面向细分市场的个性化APP爆炸性增长达332%。新闻杂志、商务理财和旅行出游等APP,2015年的增长率也超过100%。
移动APP已经全面覆盖衣食住行,“指尖社会”的安全风险也随着急遽聚拢的财富而不断推高。
不安全的“指尖社会”
互联网的PC端安全经过十几年的实践,已经较为完善,但是移动端安全目前还是短板,传统的PC端安全防护措施无法有效保障移动端安全,作为移动端重要载体的APP因此安全事件频发。
大量安全事件中,APP的安全漏洞被黑客作为攻击入口,通过侵入APP获取用户隐私以及企业数据库存储的数据,损坏用户和企业的利益,影响恶劣。
2015年,APP安全事件泄露的信息以用户的姓名、地址、账号、密码、手机号等信息为主,尤其金融理财和生活服务类的APP是安全事件爆发的重灾区。仅以乌云漏洞平台曝光的安全漏洞为例,2015年,超过10家知名APP被曝存在安全漏洞可导致超1000万用户隐私泄露,这些安全漏洞的种类不一,漏洞的利用攻击手法也不同,但是攻击的最终指向目标都是用户隐私及企业数据。
触目惊心的安全现状,超9成APP含有安全漏洞
截止2015年12月31日,网蛙科技对当前市场上129万个多类别的APP做了全面的漏洞扫描检测,检测结果显示 ,App漏洞总量超过1700万个,仅程序代码中硬编码开发者密码(5744940个)、Sqllite SQLlnject漏洞(2196703个)与ContentProvider SQL lnjection漏洞(1243679)三类漏洞数量就超过918万个。
据检测结果,129万多个被检测APP中,超过95%以上APP含有不同类型的安全漏洞,平均每个APP含13.8个漏洞,高危漏洞比例达16%。
2015年高中低危漏洞分布图
1、APP 九大行业榜单产品,平均漏洞数达到9.3个
网蛙科技根据2015的APP年度分类排行榜,经综合考虑,选取视频、理财、音乐、电商、新闻、社交、自拍、工具以及游戏九类APP榜单(参考艾媒咨询、艾瑞网、互联网周刊、猎豹移动等APP排行榜榜单),共计90个APP产品进行了检测。
据检测结果,90个APP榜单产品(以发行的最新版本漏洞扫描检测结果数据为准),漏洞总数达到847个,平均每个APP含有9.3个漏洞。分行业计,游戏行业所含漏洞数最高,平均漏洞数目超过12个,安全隐患相对较大;金融理财、电商、社交这三个行业的平均漏洞数都接近或超过10个,同样需要高度重视。
这些被检测的APP中近70%面世时间达3-5年,具备成熟的市场口碑,当前用户规模和资产规模都高于同行业其他产品。它们高于普通APP的商业价值也更容易吸引黑产注意,如果遭遇安全事故,对APP有形的资产和无形的品牌都将造成严重损失。网蛙科技建议APP开发者们加强安全工作,切实提高产品的安全性,更好地维护APP用户利益和公司的品牌形象。
2、应用商店安全检测不到位,无法完全保障上架APP安全
网蛙科技对当前市场上两类应用商店的APP进行检测,分别为豌豆荚、应用宝、360手机助手等知名独立第三方应用商店,以及小米应用商店、华为应用市场等终端厂商自建的应用商店。
据不完全统计,截止2015年12月,手机应用商店漏洞总数超过1700万,单个应用商店最高漏洞数目超过493万个,其中第三方应用商店漏洞数目平均达到57万个,终端厂商自建的应用商店漏洞数目平均达到64万个,第三方应用商店的安全系数相对高于终端厂商自建的应用商店。
据艾媒咨询,从当前市场APP下载情况来看,APP下载渠道占比最高的为第三方应用商店(占比54%),其次为终端厂商自建的应用商店(占比34%),这两大类应用商店是当前用户下载APP的主要渠道。由于APP已经实质性地触及个人财产信息与隐私信息等,用户对APP安全性的要求不断提高,与此同步上涨的是用户对应用商店安全工作的不满情绪。截止2015年12月,超过60%用户认为应用商店应该对商店内恶意软件的出现负审核不严的责任。2016年,应用商店需要在安全能力提升方面做更多工作。
部分手机应用商店APP漏洞检测结果
3、19类行业漏洞检测,游戏和生活服务类APP危险系数最高
网蛙科技对当前市场上包括金融理财、网络购物、商务办公等19类APP进行了分类漏洞统计。需警惕的是,直接涉及数据资产、用户隐私等高商业价值信息的行业,APP检测结果显示漏洞分布数目远高于其他行业。
据检测结果,直接关联数据资产(如银行卡、移动支付等信息)的APP行业漏洞数目最高,游戏类APP漏洞数目高达457万,生活服务类APP以250万的漏洞数目排名第二,购物、金融理财类APP漏洞数目均超过80万;直接关联用户隐私(如姓名、联系方式信息)的APP漏洞数量也非常高,需要引起重视,社交、办公类APP漏洞数量分别达到139万和100万,而影音、教育类的APP漏洞数量也均超过50万。
近几年由漏洞引发的APP安全事故已经表明,无论是哪个行业,漏洞对APP安全都具有“一票否决权”。安全是一切发展的基础,APP开发者需要加强安全工作,不可掉以轻心。
2015年全行业APP漏洞分布图
给移动APP漏洞防护的四点建议
移动APP的安全问题涵盖开发、发布、维护等,贯穿APP产品的整个生命周期,因此网蛙科技针对当前移动APP的安全现状,提出以下几点建议,供行业从业者参考:
(1)安全工作,从开发抓起
当前APP市场呈现井喷式增长,跑马圈地的格局导致不少APP开发者因为急于占领市场,而相对忽视了APP开发时的安全工作。
网蛙科技检测中发现超过20%的漏洞是由于开发者的疏忽导致的,认真遵循APP开发的安全编程规范是完全可以避免的。
(2)应用商店,把好安全关
当前市场上,APP主流发行渠道为应用商店,其中第三方的应用商店占比最高。应用商店应负起责任,为上架的APP进行更全面可靠的安全测评 。满足用户的安全需求,同时也为APP开发商进行最后一道安全把关。
具体可借鉴欧美地区应用商店,对于在其应用商店上架的APP,设置安全性的权重,将安全性高低与APP信誉相关联,既维护了用户对APP安全的知情权,更提升应用商店自身的品牌形象。
(3)即时监测及时修复
随着移动互联网渗透率的大幅提高,移动APP漏洞的曝光频率持续走高。漏洞曝光之后,厂商应高度重视并及时响应,在尽可能短的时间内推出相应的漏洞修复措施。
当前市面上仍有相当大比例的APP漏洞是属于早期已有尚未修复的漏洞,网蛙科技此次检测就有超过35%的漏洞是属于此类漏洞。建议APP开发者应持续关注最新安全信息,及时修复漏洞。
(4)防范0-day漏洞,使APP更安全
信息安全意义上的0-day漏洞是指软件厂商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。高危险级别的0-day漏洞如果被互联网不法分子利用,会对软件产品产生巨大的威胁,极大的影响用户体验甚至损害品牌价值。如2015年爆发的Hacking Team事件,该公司就是主要通过0-day漏洞进行不当盈利,此次事件中泄露的漏洞数据对全球众多公司造成了严重影响。
而与此相对的是,绝大部分的APP开发者并不具备0-day漏洞挖掘能力,同时因为漏洞挖掘耗时久,从商业效益上说,企业自行挖掘0-day漏洞的性价比不高,建议APP开发者与0-day漏洞研究团队合作,借助专业的力量,打造更加安全的APP产品。
APP安全,从防护漏洞开始
2015 年,云计算、物联网、大数据技术和相关产业迅速崛起,互联网移动端的发展将占据越来越重要的位置, 作为载体之一的APP的安全更是互联网安全至关重要的一环。
国家对APP安全的规范工作正在不断建设与完善。2014年4月至9月工业和信息化部联合公安部、工商总局在全国范围开展打击移动互联网恶意程序专项行动,将互联网恶意程序设为重点打击治理项目之一,督促应用商店落实安全责任。国家网信办主任鲁炜也曾公开表示,网信办将出台APP应用程序发展管理办法。当前APP市场乱象的生存空间将不断缩小,APP开发者应提前部署应对措施。
APP安全,是国家、开发商、广大用户三方面共同的需求。而随着APP市场发展周期的推进,错综复杂的安全情况,越来越高频的安全威胁,都预示着APP安全攻防战场焦点将从漏洞防护开始。参考互联网移动端安全发展的轨迹,APP开发者与独立的第三方APP安全企业合作将成为互联网移动端安防的主流趋势。