FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
据统计,每年至少新增150万种移动恶意软件,至少造成超过1600万件的移动恶意软件攻击事件。爱加密全国移动APP安全性研究报告,旨在让移动手机用户了解APP风险隐患对个人隐私信息及资金安全等方面所造成的威胁,提高其安全防范意识。通过对App违法违规收集使用个人信息行为的通报,协同有关主管部门、APP供应商、APP提供商等,共同营造安全的移动应用环境,促进网络安全的规范化、安全化、健康化发展。
截止3月底大数据中心已收录Androidapp应用270多万个,IOS应用190多万个,其中50%以上的APP都存在漏洞威胁,5.24%的APP存在病毒,30%以上的APP存在不同程度的越权、超范围收集等违规行为。
从APP分布区域来看,广东省APP数量位居第一,约占APP总量的23.58%;其次是北京市,约占总量的22.50%,排名第三的是上海市,约占总量的12.72%。
游戏娱乐类APP53万,约占总量的20%,存在高风险漏洞最多,在所有app中相对最不安全。金融理财类APP位居第二,有26万,约占总量的10%。教育培训类APP排名第三,有13万,约占总量的5%。
图2行业信息分布图
从应用市场拥有APP数量来看,目前上线的APP市场有500+,其中豌豆荚、360市场、应用宝占据应用市场排名前三甲。
图3应用市场统计图
从应用市场公司主体所属区域来看,福建省APP应用商店最多,占总量的16.47%,如「好卓市场」、「手机玩」、「最笨下载」等应用市场的所属公司都在福建省,其次是湖北省和北京市的应用市场公司数量较多,分别占总量的16.06%和13.25%。
图4应用市场区域分布图
移动应用安全平台扫描了270多万个APP,其中,有漏洞的APP约183万个,占监测总数的67.77%。排名前三的漏洞分别是:Janus漏洞、未移除风险的WebView系统隐藏接口漏洞、截屏攻击风险漏洞。
图5漏洞APP数量统计图
约181万个APP存在高危漏洞,占监测总数的67.04%。2%的APP存在20个以上高危漏洞,19%的APP存在10-20个高危漏洞,79%的APP存在10个以下的高危漏洞。
从APP漏洞种类来看,存在Janus高危漏洞的APP数量最多,占监测总数的66.67%;其次是Java代码未加壳漏洞,占监测总数的57.19%;排在第三位的是WebView明文存储密码漏洞,占监测总数的48.69%。
图6高危漏洞统计图
Janus漏洞主要威胁是可以绕过了安卓系统的整个安全机制,可以盗取用户的账户、密码等敏感信息,甚至可以植入木马病毒,属于高危漏洞。
Java文件未进行加壳保护,主要威胁是可能被反编译,易导致代码逻辑泄露、重要数据加密代码逻辑泄露等,属于高危漏洞。
WebView明文存储密码漏洞,主要威胁是用户保存在WebView中的密码,会被明文保存到应用数据目录中,可能会被攻击者窃取本地明文存储的用户名和密码。
从APP类别来看,存在漏洞的所有APP中,游戏娱乐类最多,占16.0%,其次为金融理财类,占14.2%,教育培训排名第三,占12.9%。
从各类APP中含有的高风险漏洞来看,67.04%的移动APP存在高危安全漏洞。其中,游戏娱乐类APP含有高风险漏洞的比例最高,占游戏娱乐类APP总量的75.9%;其次为新闻资讯类APP,占新闻资讯类APP总量的63.6%,教育培训排名第三,占教育培训类APP总量的42.9%。
从漏洞的区域分布来看,北上广占比较高,其中广东省存在漏洞应用数量占总量的19.08%,其次是北京市,占总量的18.21%,排名第三的是上海市,占总量的10.29%。
图7漏洞区域分布情况
图8病毒类型统计表
从病毒APP分布区域来看,广东省占病毒APP总量27.33%,其次是浙江省,占病毒APP总量10.49%,最后是北京市,占病毒APP总量10.23%。
图9病毒区域分布图
随着APP应用的发展,越来越多的APP打着服务用户的旗号获取大量的用户隐私信息,部分APP在使用用户隐私权限时根本不提供隐私条款,部分APP即使有隐私条款,也是和实际采集的用户信息不匹配的。大量APP存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量APP在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。用户隐私信息正面临安全的挑战。
案例:这是某金融服务APP提供给用户的隐私条款部分截图,你可能很难认真去阅读这些条款,一般都会直接选择同意,但是你可能不知道,你点击同意后,就表示你已经阅读并接受这个条款里的所有内容,比如有一条关于你信息共享问题的条款:「我们会与我们的供应商、服务提供商、顾问或代理人共享您的个人信息,以提供更好的用户体验」。意思就是你点击同意这个条款,那么你的个人信息就可能会被第三方获取。
(二)个人隐私风险
图11电商收集用户信息截图
案例3:某游戏应用正在通过后台程序获取用户的手机信息。
图12请求品牌、手机型号、IMEI、系统版本等信息
图13获取IMEI号代码
图14获取手机MAC地址
图15获取手机型号与品牌
图16获取系統版本地址
在移动互联网火热发展的时代,移动APP无处不在,购物、音乐、学习、理财、社交、娱乐等等。据调查报告显示,目前移动APP安全市场缺口大,主要体现在移动安全需求大、研究人员极少以及针对性公司少。为保证移动应用的安全,开发者需要对APP进行一系列安全检测、安全加固以及渠道监测等工作,从而保障用户信息安全,促进互联网的健康发展。
移动APP平台以Android、iOS为主流,而Android因其开放性,安全问题相当严峻。本次检测共计搜集270多万条app的数据,扫描出约6358万多条漏洞数据,涉及75种漏洞,有183多万款APP或多或少都存在安全漏洞。这些数据反映出androidapp漏洞问题的严峻性,在APP市场上,很多androidapp都存在潜在的安全风险,一旦被利用,会给用户和开发者带来很大影响。
移动APP为人们的生活带来了便捷的通讯、购物、交通……人们在享受这些便捷的同时,位置信息、通话记录、照片、摄像头等个人信息可能也会默默的暴露到了网络上。目前,用户个人信息收集和使用上存在很多乱象。那么怎么才能减少或避免个人隐私信息泄露呢?手机应用专家建议如下:
1.下载安装时认真阅读权限提示,谨慎开启权限,经常检查手机应用的权限信息,关闭用不到的或是不常用的软件权限,特别是摄像头、语音权限,不用的时候最安全做法是关闭该权限,使用时再打开。
2.尽量不要下载来路不明的软件。每款软件下载后要及时查看权限,不需要的及时关闭。
3.不要购买山寨、组装手机。品牌手机系统安全性相对可靠,通常不会出现强制使用状况,比如使用摄像头权限,在用户关闭的情况下强制打开,这种事一般不会发生,除非手机系统安全性过低,所以山寨手机要不得。
4.摄像头自动打开,这种情况多数是用户自己打开了使用摄像头权限,使用后不及时关闭,某些流氓软件利用用户这个不良习惯来窃取用户隐私。即便是品牌手机,不排除个别软件出现强制打开权限状况发生,用户遇到这类问题要及时卸载软件,并通过正常渠道及时反馈给手机供应商处理。
5.一定要通过正规应用市场下载APP,或者官网等渠道,避免通过网页弹窗、不明链接下载软件,以免手机感染病毒。
然而实际操作中,由于取证难、执法难。存在大量APP开发企业无视法律法规,在用户使用时根本不提供隐私条款,部分APP即使有隐私条款,也是和实际采集的用户信息不匹配现象。大量APP存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量APP在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。