近日,由移动互联网系统与应用安全国家工程实验室(以下简称:国家工程实验室)牵头,中国信息通信研究院安全研究所(以下简称:信通院)和北京智游网安科技有限公司(以下简称:爱加密)一起参与,三方联合发布了 《全国移动App 风险监测评估报告》(2020 年3季度版) 。
本次评估报告包括全国移动 App 安全概况、全国 App类型分布、金融类App分布概况、移动应用个人信息安全案例分析、第三季度App风险监测评估总结等内容。App 风险监测评估报告面向社会公众免费发布,为行业用户了解本行业 App 安全提供了参考,也为个人用户开启了一扇了解当下App 安全热点的窗户。
国家工程实验室、信通院以及爱加密公司后续会加大合作,把“全国移动 App 风险监测评估”作为常态化合作内容,风险监测评估报告每季度发布。
一、全国移动App概况
根据移动互联网系统与应用安全国家工程实验室(以下简称国家工程实验室)、中国信息通信研究院安全研究所(以下简称信通院)和北京智游网安科技有限公司(以下简称爱加密)移动应用大数据平台提供的数据,截止9月底大数据平台共计收录Android应用318万款,其中 95% 以上存在高危漏洞威胁,近一成的App存在恶意行为, 31.88% 的App嵌入推送类的SDK。
(一)豌豆荚App数量占总量的8.12%
截止到本季度纳入监测的应用渠道数量总计约800个,其中App数量排名前三列的分别是:豌豆荚,共计应用708790款,占渠道总应用数量的8.12%,相比第二季度下降了0.54%;360市场,共计639158款,占总应用数量的7.33%;应用宝,共计634734款,占总应用数量的7.27%;以下是各渠道App排行前十的情况:
图1 各渠道应用排行TOP10
(二)高危漏洞呈逐渐增长趋势
本次监测过程主要对10类94项风险漏洞进行分析,监测发现95%以上的App存在漏洞。存在不同风险等级漏洞的App占比如下:
图2 不同风险等级漏洞的App占比
约318万款Android最新版本应用包通过移动应用安全平台进行风险监测,其中,有高危漏洞的App约290万款,占应用总数的99.41%。本季度排名前三的漏洞分别是: Janus漏洞、Java代码加壳检测、WebView远程代码执行漏洞。 详见下图:
图3 存在漏洞的App数量统计图
(三)主要恶意程序风险描述
本季度新增存在恶意程序的App7123款,其中恶意程序类型还是以流氓行为为主,这些恶意程序主要存在收集移动用户的隐私数据、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。详见下图:
图4 恶意程序类型统计表
(四)第三方SDK应用广泛,数据安全存在隐患
第三方SDK应用广泛,其自身安全性和收集使用个人信息的行为也存在隐患。监测发现截止9月底,31.88%的App嵌入推送类的SDK,共计应用521088款;18.91%的App嵌入统计类的SDK,共计应用309099款;15.28%的App嵌入支付类的SDK,共计应用249811款,详见下图:
图5 不同类型SDK对应的App分布情况
(五)各省份移动应用加固情况相近
从加固App区域分布来看,北上广地区App供应商安全意识较强,加固数量最多。
图6 加固App省份Top10
经统计,进行安全加固的App覆盖36个省份,其中安全加固App数量排名前三列的分别是:北京市占总量的28.37%,共计74695款App;广东省占总量的23.60%,共计62115款App;上海占总量的6.57%,共计17293款App,以下是前十排名情况:
图7 加固App数量省份占比前十分布
北京以28.37%的比重成为汇聚加固App数量最多的省份,与之反向的是香港、澳门,澳门成为加固App数量最少的省份。详情如下:
图8 加固App数量占比排名靠后情况
二、全国App类型分布
(一)生活实用类稳居市场总应用的首位
从全国功能分类应用细分领域来看,生活实用类App在前三名中占领了第一名的位置,其中,生活实用类的App占市场应用的15.42%,共计1298772款;办公学习类的App占市场应用的11.19%,共计942563款;休闲益智类的App占市场应用的8.62%,共计726170款。不同细分领域App占比如下所示:
图9 不同细分领域AppTop10数量及占比
(二)其他类型App分布情况
排名第4到第10的行业分别是资讯阅读、金融理财、网上购物、系统工具、影音播放总和不超过41%。其中:资讯阅读类App共计620522款,占总数的7.37%;金融理财类App共计603009款,占总数的7.16%;网上购物类App共计484582款,占比5.75%。详情见下图:
图10 其他功能类型App数量
三、金融类App分布概况
(一) 超三成App分布在华东地区
金融类App遍布全国各地,有30179款可以根据区域划分规则明确归属地,下列区域分布仅基于这30179款做分析。从大区来看,华南地区App产量位居第一,占App总量的31.53%;其次是华中地区,占总量的24.22%;华北地区位列第三,占总量的20.78%。详见图列:
图11 App大区分布图
(二) 广东省App数量以31.34%的占比居全国第一
从省级区域来看,广东省金融类App数量占全国总量的31.34%,位居第一;湖北市金融类App数量占全国总量的18.95%,位居第二;北京省金融类App数量占全国总量的9.05%,稳居第三。以下是排名TOP10的情况:
图12 金融类App数量占比区域TOP10
四、本季度增量情况
(一) Android App数量7月份环比增长以倍数发展
本季度Android App数量共计151970个,从月度上看,本季度的两个月Android App数量增速7月份环比增长最快,环比增加了 156.35% ,但8月新增应用共计66071款,环比下降23.08%。详见下图:
图13 月度环比增速图
(二) 应用监测渠道增量情况
- 应用监测渠道7月增长较快
本季度应用监测新增渠道趋势较平缓,应用新增渠道共计35个,7月份新增21个渠道,8月份新增14个渠道。详见下图:
图14 新增渠道情况
2.本季度教育类增量最多
从应用行业上看,教育类仍是新增应用的主要类别,占新增应用33.83%;医疗卫生类新增数量位列第二,占新增应用17.08%;金融类新增数量位列第三,占新增应用的15.74%;详见下图:
图15 新增应用行业Top10分布图
五、移动应用个人信息安全案例分析
4月27日,国家网信办、发改委等12部门联合发布 《网络安全审查办法》 ,今年6月1日起实施。网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,主要包括产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害等。
(一)某金融类App存在服务器会话数据未清除
技术人员测试用户在客户端App上点击退出登录操作时,向服务器请求清除在线的token等信息,发现服务器未进行清除。详情如下:
用户登录成功后,在客户端应用软件的设置界面点击“退出”或“注销”按钮,此时对客户端App的网络请求进行抓包,检测其是否向服务器请求了退出清除用户在线状态。
注销账号后仍然能够正常获取数据,说明服务器并未清除用户的在线状态。
修复建议:
当用户在本地界面点击“注销”时,App客户端应向服务器发送注销用户登录状态的请求,以清除服务器的token、cookies,防止用户状态被窃取。
(二)某金融类App的验证码可绕过漏洞
技术人员在对某款App进行反编译时,发现此App存在可绕过验证码的验证对手机号直接进行修改。详情如下:
经测试,修改手机号的步骤为先验证原手机再设置新手机号,抓取第一步验证当前手机号的数据包。
拦截第一步验证码请求的返回数据包并篡改为表示验证正确的状态码。
App界面绕过验证码验证跳转到绑定新手机的界面:
(三)传输过程中的数据被明文传输
经检测,发现部分App与服务器进行交互的过程中,传输较为敏感的信息,如登录、注册、支付、找回密码、重置密码等,如果客户端没有对本地链接SSL证书信息的校验,即使使用了HTTPS的加密协议,也不可避免的被抓包分析,从而威胁业务层面的安全。详情如下:
越狱手机中开启SSL Kill Switch 2插件:
使用Fiddler对该APP的网络接口进行抓包。
六、第三季度App风险监测评估总结
(一)重视App漏洞危害,提高风险防范意识
从App漏洞监测数据来看,已监测的App中有95%以上存在高危漏洞,都有不同程度的损害用户行为。在2020年上半年观察到的攻击中,80%攻击使用2017年及更早时间报告和注册的“旧漏洞”,超过20%的攻击使用至少7年的高龄漏洞;而排名最高的“Janus漏洞”可以让攻击者绕过安卓系统的signature scheme V1签名机制,直接对APP进行篡改。由于安卓系统的其他安全机制也是建立在签名和校验基础之上,该漏洞相当于绕过了安卓系统的整个安全机制。攻击者可以在正常应用中植入恶意代码,替代原有的APP做下载、更新。安装这些仿冒APP后,攻击者可以窃取用户的账号、密码等敏感信息;或者植入木马病毒,导致手机被ROOT,甚至被远程操控。
(二)各方越来越关注个人隐私保护,作为App运营企业要自律
App个人信息安全保护不仅是监管部门的任务,它涉及多个主体,需要政府部门、App企业、SDK企业、手机企业、应用商店企业、行业组织、研究机构共同努力,形成个人信息保护的良好生态和强大合力。与此同时,作为App开发和运营企业要做好自律,企业是维护网络安全的主体,为实现一些功能,在收集个人信息收集时要做好平衡、把握好度,在相关功能实现后,企业应当将如何保护个人信息作为核心竞争力。
近阶段,因疫情等因素导致App大量增多,同时App在使用时产生的问题也逐渐增加,作为App的运营者,应该要以身作则,明确自己的原则,注重App在运行过程中的维护以及后期的升级,其次,在提高运营人员的安全意识的同时,还要建立相关的 安全机制,做好App安全防御措施, 及时修补安全漏洞,防治App因漏洞的问题被恶意程序感染。
(三)网络安全离不开安全技术和产业的支撑
没有网络安全就没有国家安全 ,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。当前,各种形式的网络攻击、不法入侵、恶意代码、安全漏洞层出不穷,对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗,保障网络安全离不开网络安全技术和产业的有力支撑。