度移动APP安全分析报告.docx
《度移动APP安全分析报告.docx》由会员分享,可在线阅读,更多相关《度移动APP安全分析报告.docx(33页珍藏版)》请在冰豆网上搜索。
度移动APP安全分析报告
2015年度移动APP安全分析报告
目录
一、移动APP安全现状1
1.1发展背景1
1.1.1全球移动互联网发展状况1
1.1.2我国移动互联网发展状况3
1.2安全现状5
二、移动APP面临的挑战6
2.1移动App安全性较低6
2.1.1AndroidAPP恶意行为分析6
2.1.2AndroidAPP行业分析8
2.1.3AndroidAPP渠道分析9
2.1.4AndroidAPP地域分析10
2.1.5iOS平台应用难逃厄运11
2.2Android应用市场缺乏监管12
2.2.1Android应用市场为主要应用下载渠道12
2.2.2Android应用市场缺乏监管12
三、提高移动APP安全能力13
3.1提高移动App安全保护能力13
3.2提高应用市场安全审核能力14
3.3移动App安全标准进展和实施(待补充)14
一、移动应用软件(APP)安全现状
1.1发展背景
1.1.1全球移动互联网发展状况
1.1.1.1移动互联网流量成倍增长
2011年,全球每月移动互联网流量约为600PB,2014年这一数字上升至3200PB。
智能手机是移动互联网流量增长的最大驱动力。
2014年,智能手机的移动互联网流量为2011年流量的7倍有余,2012-2014年,智能手机上网流量都保持每年2倍及以上的速度增长。
移动个人电脑、路由器和平板电脑的流量增长速度较智能手机增速较缓,但2014年的月移动互联网流量也超过了1000PB大关。
数据来源:
赛迪智库整理,2015.3
图2010-2015年移动互联网流量发展情况比较
1.1.1.2移动设备拥有率达到较高水平
截至2016年1月,全球接入互联网的移动设备总数超过70亿台,几乎平均全球人手一台。
作为最主要的移动终端设备,智能手机仍然保持高速增长,2014年,智能手机全球出货量达12.86亿部,同比增长28.0%。
平板电脑增速较前两年显著下降,但仍然保持增长,全球出货量为2.34亿台,同比增长7.2%。
近三年,智能手机和平板电脑的年均增长率分别为43.3%和27.0%,增长幅度有所放缓。
数据来源:
赛迪智库和IDC整理,2016.1
图2013年-2015年全球平板电脑季度出货量
1.1.1.3移动互联网用户比例快速上升
数据来源:
赛迪智库和爱立信整理,2016.1
图2007-2015年全球移动蜂窝用户数和移动宽带用户数
1.1.2我国移动互联网发展状况
1.1.2.1移动互联网市场规模突破千亿元
2014年,我国移动互联网市场继续蓬勃发展,总市场规模突破千亿元大关。
2015年中国移动互联网市场规模为2514.6亿元,同比增长72.2%,为2011年市场规模的7倍多。
一方面,智能手机和其他移动智能终端的普及和应用,奠定了移动互联网的硬件基础;另一方面,移动互联网所衍生出的互联网金融、交通旅行、在线教育的应用服务愈发完善,并加速推广向市场,成为市场规模快速增长的主要原因。
数据来源:
易观智库整理,2016.3
图2011-2015年中国移动互联网市场规模增长图
1.1.2.2移动互联网流量高速增长
数据来源:
通信世界整理,2016.1
图2010-2015年移动互联网流量发展情况比较
1.1.2.3手机上网用户首次超过PC端用户
数据来源:
CNNIC整理,2016.1
图2007-2015年我国移动网民规模及其占比
1.1.2.4移动应用不断丰富
数据来源:
友盟整理,2015.12
图iOS&Android平台活跃用户增长率比对
1.2安全现状
移动互联网是新时代的产物,也是未来发展的必然趋势,在丰富广大人民群众生活的同时,也给人民带来了强烈的娱乐体验,但是移动互联在无线接入网络、移动终端、应用服务上都面临着前所未有的挑战,其中Android平台移动应用的安全问题尤为突出。
据统计,2015年上半年,Android平台新增病毒应用约127.3万个,较2014年下半年环比增长240%。
下面本报告将详细分析移动APP面临的风险与挑战,以及相应的解决方案。
数据来源:
XX移动安全
二、移动APP面临的挑战
从目前国内移动应用市场的发展状况可以看出,移动APP面临的风险与挑战主要集中在三个方面:
(1)恶意应用泛滥:
Android平台,移动应用开发者没有严格评估代码安全导致应用本身存在漏洞,加上非法操作者对移动APP进行恶意攻击,导致目前市面上恶意应用泛滥;而一向以安全著称的iOS平台应用近年来也屡屡曝出漏洞,安全问题不容乐观。
(2)行业标准缺失:
移动应用安全相关法律法规滞后,行业对移动APP安全相关的风险认识不足,因而移动市场缺少统一完善的行业标准,导致APP隐患层出不穷;(3)应用市场缺乏监管:
Android市场门槛较低,没有权威发布机构,并且审核不够严格,导致很多移动APP被二次打包后重新投放应用市场,进而危害用户的隐私与财产安全。
2.1移动App安全性较低
2.1.1AndroidAPP恶意行为分析
移动应用监测预警中心全网监测15个行业共发现2716501个漏洞,其中高危漏洞679076个,占比25.33%,中危漏洞737201个,占比27.49%,可见移动安全问题的严峻性。
数据来源:
移动安全监控平台()
截止到2016年3月,移动应用监测预警中心一共监测到10,649次应用恶意行为,主要是消耗流量、广告植入、短信拦截、隐私窃取、钓鱼欺诈和恶意扣费,严重损害了广大手机用户的利益。
经深入分析,绝大多数含有恶意行为的安卓应用都是盗版应用。
盗版,是安卓手机恶意行为广泛存在和传播的主要原因。
数据来源:
移动安全监控平台()
恶意应用典型案例分析:
(1)短信木马2.0
2015年11月,新型手机支付木马病毒——“短信木马2.0”被截获,该病毒可利用网络遥控中毒手机,代替机主发送短信给机主的联系人,已实现直接诈骗资金的目的。
经过进一步追踪关联病毒包,从软件名中我们可以发现,该病毒在用户手机中伪装成“最高人民检察院”、“建行”、“中国人民检察”等等的APP,来迷惑用户。
这意味着短信木马可模仿“公检法”等权利机关,通过网络向受害者手机发送诈骗短信,这也让冒充公检法诈骗进一步升级。
(2)违章病毒
2015年8月,工作于厦门本地媒体的王记者收到一条车辆“违章”短信,附加了违章详情的图片链接。
但点开链接后,王记者银行卡里的1370元钱在两分钟内就被转走了,骗子的捐款速度惊人。
经调查发现,这是一种新型的诈骗手段,骗子通过窃取车牌号以及绑定车辆信息的手机号码,向车主发布车辆违章提醒短信。
为了让车主上当,在违章短信后面,不法分子还添加了用于查看违章详情图片的链接,点开链接后,便会提示下载手机系统默认的软件。
当受害者按照提示点击安装后,恶性软件就侵入手机,植入木马软件进行黑客行为。
短信传播是支付类病毒的主要传播方式,这类短信主要是利用用户的好奇心理以及自身安全意识低来作案,一旦用户不加防范地打开病毒链接,就意味着用户的隐私安全与财产安全面临威胁。
2.1.2AndroidAPP行业分析
移动互联网逐渐呈现多行业并行发展的趋势,从生活出行、社交活动到医疗健康、教育培训等等,遍布生活的方方面面。
可以说,有人类活动的地方就有移动互联网发展的机会,同时,移动互联网发展的同时,势必会存在移动安全问题。
据移动应用安全监测预警平台统计显示,截止到2016年3月底,全网被盗版应用最多的仍然是游戏类,占比53.68%,生活服务类、教育培训类、理财类、社交沟通类应用均以较高占比跻身前五位。
数据来源:
移动安全监控平台()
图盗版应用行业分布
另外,这些被盗版应用给用户带来的影响也是非常明显的,据预警中心统计,截止到2016年3月底,被盗版应用用户下载总量惊人,其中社交沟通类以1.5亿次的用户下载量高居榜首,游戏娱乐类的用户下载量也达千万级,除此之外,生活服务类应用在发展之初也以367万盗版下载量列入榜单之内。
由此表明,移动应用飞速发展的同时,黑客对应用的攻击手段与速度也在不断提升。
数据来源:
移动安全监控平台()
图被盗版应用分发量排名
2.1.3AndroidAPP渠道分析
目前国内有600多家安卓应用下载渠道,包括应用市场、安卓开发网站、手机论坛、贴吧等等。
由于缺乏统一的市场监管和安全审查机制,导致网络上的应用APP鱼龙混杂,非专业人士根本分不清正盗版,普通手机用户经常下载到恶意行为的盗版应用。
据移动应用安全监测预警中心统计数据显示,主流的应用市场和下载站还是盗版应用的主要来源,排名前五位的是XX应用市场、豌豆荚、应用宝市场、安智市场、金立游戏大厅。
数据来源:
移动安全监控平台()
2.1.4AndroidAPP地域分析
盗版应用依然集中于东部沿海经济发达省份,位列前三甲的是北京、广东、上海。
由于东部沿海是大部分国产手机厂商所在地,存在大量内置软件渠道,同时也是水货市场、应用开发商的集中区域,黑客产业链正是看到其中存在的“漏洞”和巨大“商机”,生产了大量的盗版应用,而且普通手机用户的安全意识不足,这也是造成这些地区盗版应用比例占高的重要原因。
数据来源:
移动安全监控平台()
2.1.5iOS平台应用难逃厄运
随着iOS用户逐渐增多,iOS应用的安全性也引起大家的重视,而一向以高强度安全著称的iOS系统也在互联网安全的浪潮中难逃厄运。
研究发现,iOS面临的应用程序感染危险可能比Android高,统计发现在数以百计最受欢迎的应用程序中,显示「有潜在系统和数据保护风险」的iOS应用程序百份比有40%,但Android有36%。
虽然差距是那么细小,但仍然可以反映到iOS应用程序数量增多之下,应用程序面对的风险增加,调查发现其中38%仍然可以令用户的手机潜在严重的伤害。
近期iOS平台应用屡次曝出安全漏洞,也令用户心生畏惧。
(1)Xcodeghost
2015年9月,一种针对苹果应用开发工具xcode的病毒xcodeghost被发现,它的初始传播途径主要是通过非官方下载的Xcode传播,当开发者使用带毒的Xcode工作时,编译出的App都将被注入病毒代码,从而产生众多带毒APP,据统计,300多个应用受到此次病毒感染。
用户在iOS设备上安装了被感染的APP后,设备在接入互联网时APP会回连恶意URL,并向该URL上传敏感信息(如设备型号、iOS版本)。
回连的C&C服务器会根据获取到的设备信息下发控制指令,从而完全控制设备,可以在受控设备上执行打开网页、发送短信、拨打电话、打开设备上所安装的其他APP等操作。
由于苹果应用商店是个相对封闭的生态系统,用户一般都会充分信任从应用商店下载的APP,因此此次事件的影响面和危害程度前所未有,有可能是苹果有史以来所面临的最严重的安全危机。
(2)YiSpecter
2015年10月,在Xcodeghost病毒余波不断之际,又有一款作用在原生iOS系统的病毒“YiSpecter”被发现。
该病毒存在相关恶意代码的应用不仅可以安装于越狱设备,未越狱设备同样会受到威胁。
一旦感染了“YiSpecter”病毒,其不仅会继续下载安装更多恶意应用,而“携毒应用”本身还能利用恶意代码进行用户信息的盗取以及系统设置的强制更改。
其会造成隐藏“携毒App应用”桌面图标,并进行静默自动升级。
除去前面的“流氓软件”特征之外,其还会在后台监测系统行为、收集用户和系统信息。
并且,其还能够强制卸载已存在应用、改变Safari浏览器配置、伪装成系统应用让用户不能轻易卸载,且若卸载不干净便会重新出现等。
2.2Android应用市场缺乏监管
2.2.1Android应用市场为主要应用下载渠道
截止到2014年第三季度,中国手机网民了解手机应用的渠道分布方面,第三方应用商店依旧是首选,占比62.1%。
应用市场因其专业性、海量的应用选择成为应用分发的重要渠道。
数据来源:
iiMediaResearch艾媒咨询
2.2.2Android应用市场缺乏监管
应用市场成为网民了解与下载应用的首选渠道,与此同时也面临着应用市场带来的安全隐患。
一些移动应用市场因为缺乏来自相关管理部门的法律监管约束以及自身严格的软件审核与自律机制,这就给不少移动互联网服务提供商、广告商以及缺乏自律的开发者留下可乘之机,在利益的诱惑面前,他们牢牢抓住这一漏洞,在某些热门软件大量的上植入恶意代码与插件,并重新打包上传到第三方软件市场供用户下载,进而通过窃取用户个人隐私的方式发送垃圾短信甚至恶意扣费等行为谋取利益。
这其中,甚至于某些第三方软件市场本身也勾结其中,让平台本身成为恶意软件肆虐的温床。
如下图,是15个主流应用市场的到本应用数量统计,可以看出很多市场的恶意盗版应用多达数千个。
数据来源:
移动安全监控平台()
三、提高移动APP安全能力(SDL生命周期保护)
3.1提高移动App安全保护能力
基于移动互联网安全的发展现状,需要移动安全一站式解决方案,覆盖移动应用开发、发布、运营全生命周期,从多个角度入手解决移动安全面临的账号、操作以及数据的安全威胁。
(1)检测移动应用代码安全
开发者在完成移动应用的开发任务后,需要通过正规的检测途径对应用进行代码安全审查。
应用检测针对移动应用实施符号执行,分析代码执行流程、函数逻辑以及加解密函数等关键信息,以数学符号的方式模拟应用程序全逻辑执行,观察程序漏洞、查看调试数据以及进行渗透攻击测试。
应用检测的目标是发现代码漏洞,减少代码渗透风险,并以详细报告的方式将弱点明细和加固建议提供给开发者,提升代码安全水平。
(2)对安全应用进行加固保护
移动应用在发布到应用市场之前,对移动应用进行全面的加固保护,使应用能够有效防止被发编译、嵌入病毒、非法扣费、嵌入广告等,确保投放到市场之后,能够对抗黑客对其实施逆向工程、代码注入等非法行为。
(3)监测应用市场盗版情况
移动应用发布覆盖超过600+应用发布渠道,包括第三方应用市场、论坛等方式。
渠道监测从渠道分布、应用版本及其盗版率、下载量、盗版渠道来源等多方面,对移动安全应用进行实时监测,并对获取的信息进行全方位的深入分析,最终将分析数据形成完备的监测报告。
开发者可以通过渠道监测第一时间发现盗版应用,有针对性地进行策略调整。
3.2提高应用市场安全审核能力
应用市场要加强预防和监管,建立严格的行业准入和退出机制。
出台手机应用市场标准,对应用市场上的应用软件进行“定期体检”和“客户监督”,若发现应用商场中的恶意或盗版应用超过一定比例,则要对该应用商场给予关停整顿或其他处罚,以净化手机应用软件扩散的主要渠道。
此外,对于用户而言,需提高APP的辨别能力,选择在应用官网或正规的应用商场下载应用。
用户在安装应用之前需要对其进行仔细考量。
另外,用户在遇到可疑APP要敢于向监管部门举报,共同净化网络,让APP乱象无处遁形。
3.3移动App安全标准进展和实施(待补充)
3.3.1移动应用软件安全标准分类
根据标准的功效以及通信标准化委员会在信息安全方面设立的标准组情况,将移动应用软件安全标准分为三类:
(1)政策、监管类:
主要以支撑国家相关部委(如网信办、工信部、公安部等)安全监管工作为目的而制定,内容多为监管要求或与政府监管平台对接的接口需求等。
(2)开发、管理类:
主要为指导移动应用软件安全开发、安全管理而制定,内容多为安全要求、管理指南等。
(3)评估、测试类:
主要为配合开发、管理的技术要求制定的具体评估、测试方法,内容多为具体的技术方案或测试用例。
3.3.2移动APP安全标准进展
分类别梳理国家标准、通信行业标准中移动应用软件安全方面的内容。
(1)监管、政策类标准
标准类型
标准项目名称
牵头单位
项目阶段
主要内容
协会标准
移动互联网仿冒应用程序的监测与处置接口技术要求
国家计算机网络应急技术处理协调中心
起草阶段
本标准制定了移动互联网企业关于正版应用特征的提交与审核接口,与基础电信运营企业、安全企业等单位关于应用特征的监测与反馈接口,与移动互联网企业的疑似仿冒应用程序认定接口,与安全企业、应用商店关于已认定仿冒应用程序的处置接口,实现关于仿冒应用程序监测、判定和处置的一系列功能。
协会标准
移动互联网应用自律白名单数据接口技术要求
国家计算机网络应急技术处理协调中心
报批稿
本标准制定了移动互联网应用自律白名单在实际操作过程中的数据接口规范,使得CNCERT、白名单申请企业、安全企业和应用商店等各单位间协调处理白名单事务更加规范化。
协会标准
移动互联网应用自律白名单管理要求
国家计算机网络应急技术处理协调中心
起草阶段
本标准制定了移动互联网领域的企业白名单,白名单内容为企业开发应用程序所使用的数字证书。
通过规定企业申请白名单的一系列工作流程,关于其申请、审查、鉴定、发布、执行、复查、惩罚等流程,明确了白名单申请所需要提交的资质审查材料,需要报备的应用程序信息,以及白名单审查过程中所需要的数字证书材料,规定了白名单在安全企业、手机应用商店等产业相关单位如何进行执行。
协会标准
移动应用商店恶意程序的监测与处置接口技术要求
国家计算机网络应急技术处理协调中心
起草阶段
本标准规定了对应用商店中APP进行安全监测与处置的接口标准。
包括应用商店上报应用程序信息的标准格式和接口协议;针对应用程序检测结果的标准格式和接口协议;对恶意程序处置消息的标准格式和接口协议;应用商店反馈处置结果的标准格式和接口协议。
协会标准
移动互联网网络安全事件分析系统技术要求
国家计算机网络应急技术处理协调中心
讨论稿
本标准技术内容包括:
1.移动互联网分析系统总体要求;
2.移动互联网分析系统性能要求;
3.移动互联网分析系统数据接口规范;
4.移动互联网分析系统数据存储要求;
5.移动互联网分析系统权限和审计要求。
协会标准
移动互联网恶意程序监测处置系统检测要求
中国信息通研究院
报批稿
协会标准
移动互联网恶意程序监测处置系统建设能力要求
国家计算机网络应急技术处理协调中心
报批稿
本标准规定了移动互联网恶意程序监测与处置手段的适用范围、面向的对象和具体能力要求,提出应达到的指标参数。
具体包括:
主要面向的对象包括2G/3G/4G移动网络,实现对当前使用的移动网络的全覆盖,要求具备移动恶意程序疑似样本的捕获能力,本网络内用户感染已知移动互联网恶意程序的能力,以及对已知恶意程序的传播和控制端IP、域名、URL进行处置的能力。
协会标准
移动互联网恶意程序检测方法第1部分:
网络侧
国家计算机网络应急技术处理协调中心
完成
本部分规定了移动互联网恶意程序的网络侧检测方法,提出了在网络侧对移动互联网恶意程序进行检测的技术要求。
协会标准
移动互联网恶意程序检测方法第2部分:
终端侧
国家计算机网络应急技术处理协调中心
完成
本部分规定了移动互联网终端侧对恶意程序的检测方法和要求。
协会标准
移动互联网恶意程序疑似样本报送接口规范
国家计算机网络应急技术处理协调中心
完成
本标准规定了移动互联网恶意代码疑似样本报送接口的接口定义、接口流程、接口传递数据结构等内容。
协会标准
移动互联网恶意程序描述格式
国家计算机网络应急技术处理协调中心
完成
本标准规定了移动互联网恶意程序的定义、行为属性、判定及命名格式。
国家标准
移动应用网络安全审查
总参三部
(2)开发、管理类标准
标准类型
标准项目名称
牵头单位
项目阶段
主要内容
研究课题
基于Android操作系统的移动应用软件安全开发框架研究
中国联合网络通信集团有限公司
报批稿
本研究课题旨在研究Android操作系统中,基于应用层的安全开发框架的可行性和技术方案,为开发者提供相应安全支持,如安全功能库及安全接口等,为开发者提供统一的安全开发流程,使其应用软件满足相关安全要求。
协会标准
移动应用软件商店信息安全技术要求
中国信息通信研究院(工业和信息化部电信研究院)
完成
本标准规定移动应用软件商店用户信息同步、应用远程控制等功能的安全技术要求以及应用程序审核的要求,包括如下内容:
1)移动应用软件商店的安全技术要求;
2)移动应用软件商店的应用程序审核要求;
本标准适用于各种操作系统的移动通信终端,也包括带网络连接能力的移动终端,如带Wifi功能的平板设备等。
协会标准
移动互联网应用程序安全加固评估要求
国家计算机网络应急技术处理协调中心
讨论稿
本标准对移动应用App保护技术等级的定义,供移动应用保护提供商提高保护技术能力,供移动应用开发者对保护技术的评估参考。
技术内容:
1防护功能;2防护强度;3保护壳的行为;4可用性/兼容性;5性能。
协会标准
个人移动智能终端在企业应用中的安全策略
送审稿
本标准主要在个人移动智能终端在企业应用场景下,制定相关于移动设备管理、移动应用管理、防止数据泄露等方面的安全策略。
本标准适用基于个人移动智能终端的企业应用。
协会标准
移动互联网应用安全审计技术要求
中国电信集团公司
起草阶段
本标准规定了移动互联网应用审计技术要求,其主要内容有:
1、移动互联网应用审计安全应用场景;
2、移动互联网应用审计系统技术架构;
3、移动互联网应用审计功能技术要求。
协会标准
WEB应用安全评估系统技术要求
中国信息通信研究院(工业和信息化部电信研究院)
起草阶段
协会标准
电信运营商的大数据应用业务安全技术要求
中国联合网络通信集团有限公司
起草阶段
本标准适用于运营商对外合作中的各类大数据应用业务。
本标准将规定运营商大数据应用中的安全框架与保障机制。
本标准的主要技术内容包括:
1.大数据应用业务流程与安全管控框架;2.大数据采集安全技术要求;3.大数据存储安全技术要求;4.大数据挖掘安全处理技术要求;5.大数据输出审计安全技术要求;6.大数据传输安全技术要求;7.大数据运营安全技术要求;
协会标准
泛在物联应用电子健康与电子医疗移动健康总体需求
中国信息通信研究院(工业和信息化部电信研究院)
起草阶段
本标准将研究基于移动终端提供的各种健康服务,分析设备、业务能力、安全和管理等方面的需求,并进行规范。
协会标准
移动应用广告平台技术要求
中国信息通信研究院(工业和信息化部电信研究院)
起草阶段
本标准主要规范移动应用广告平台系统框架,并规定移动应用广告平台的功能、接口要求、业务管理、性能、及安全考虑。
本标准适用于支持移动广告平台的智能终端和移动应用广告平台的软件开发工具包。
协会标准
移动终端应用软件安全技术要求
中国信息通信研究院(工业和信息化部电信研究院)
完成
本标准规定了移动智能终端应用软件在运行机制、恶意行