全国移动App风险监测评估报告

阅读量    118598 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

近日,由移动互联网系统与应用安全国家工程实验室牵头,中国信息通信研究院安全研究所和北京智游网安科技有限公司(爱加密)一起参与,三方联合发布了《全国移动App风险监测评估报告》(2020年2季度版)。

本次评估报告包括全国移动App安全概况、App行业分布、本季度增量情况、移动应用个人信息安全案例分析、第二季度App风险监测评估总结等内容。App风险监测评估报告面向社会公众免费发布,为行业用户了解本行业App安全提供了参考,也为个人用户开启了一扇了解当下App安全热点的窗户。

国家工程实验室、中国信息通信研究院安全研究所以及爱加密后续会加大合作,把“全国移动App风险监测评估”作为常态化合作内容,风险监测评估报告每季度发布。

 

一、全国移动App概况

根据移动互联网系统与应用安全国家工程实验室(以下简称国家工程实验室)、中国信息通信研究院安全研究所(以下简称信通院安全所)和北京智游网安科技有限公司(以下简称爱加密)移动应用大数据平台提供的数据,截止6月底大数据平台共计收录Android应用317万款,其中71%存在高危漏洞威胁,3.40%的App存在恶意行为,31.06%的App嵌入推送类的SDK。

(一)豌豆荚应用数量占总量的8.66%

截止到本季度纳入监测的应用渠道数量总计605个,其中应用数量排名前三的分别是:豌豆荚,共计应用551709款,占总应用数量的8.66%;360市场,共计543205款,占总应用数量的8.52%;pp助手PC端,共计394385款,占总应用数量的6.19%。以下是各渠道应用排行前十的情况:

图1 各渠道应用排行TOP10

(二)71.01%Android应用存在漏洞风险

本次监测过程主要对10类94项风险漏洞进行分析,监测发现71.01%的App存在漏洞风险。存在不同风险等级漏洞的App占比如下:

图2 不同风险等级漏洞的App占比

约317万款Android最新版本应用包通过移动应用安全平台进行风险监测,其中,有高危漏洞的App约223万款,占应用总数的70.56%。本季度排名前三的漏洞分别是:Janus漏洞、Java代码加壳检测、WebView远程代码执行漏洞。详见下图:

图3 漏洞App数量统计图

(三)主要恶意程序风险描述

本季度新增恶意程序的应用12379款,其中恶意程序类型还是以流氓行为为主,这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。详见下图:

 图4 恶意程序类型统计表

(四)三方SDK应用广泛,数据安全存在隐患

SDK广泛应用在App的设计开发阶段,近期315晚会曝光部分SDK存在违规收集个人信息的情况。监测发现截止六月底,31.06%的App嵌入推送类的SDK,共计应用403818款;19.88%的App嵌入统计类的SDK,共计应用258510款;15.04%的App嵌入社交类的SDK,共计应用195591款。具体详见下图:

图5 不同类型SDK对应的App分布情况

(五)各省份移动应用加固情况相近

从加固App区域分布来看,发达地区App供应商安全意识较强,加固数量最多。

图6 加固App整体分布

经统计,安全加固的省份共计36个,其中安全加固排名前三列的分别是:广东省占总量的27.86%,共计应用62175款;北京市占总量的23.19%,共计应用51759款;湖北省占总量的7.83%,共计应用17478款。以下是前十排名情况:

图7 加固App数量省份占比前十分布

广东以27.86%的市场份额成为汇聚加固App数量最多的省份,与之反向的是香港,澳门成为加固App数量最少的省份。详情如下:

 图8 加固App数量占比排名靠后情况

 

二、全国App行业分布

(一)游戏类应用占市场总应用的42.25%

从全国行业分类应用细分领域来看,游戏娱乐性质应用在前三名中占领了第一名的位置,其中,游戏娱乐行业的App占市场应用的42.25%,共计1346097个;生活服务行业的App占市场应用的11.23%,共计357688个;工具软件行业的App占市场应用的10.98%,共计349868个。不同细分领域App占比如下所示:

图9 不同细分领域App数量及占比

(二)其他行业分布情况

排名第4到第10的行业分别是教育、金融、办公商务、社交通讯、文化传媒、旅游交通,以及医疗,总和不超过40%。其中:教育类App共计283766款应用,占总应用的8.91%;金融类App共计239767款应用,占总用的7.53%;办公商务类App共计104365款应用,共计3.28%。详情见下图:

图10 其他行业应用数量

 

三、教育类App分布概况

  • 超三成应用分布在华东地区

教育类App遍布全国各地,有283766款可以根据区域划分规则明确归属地,下列区域分布仅基于这283766款做分析。从大区来看,华南地区App产量位居第一,占App总量的40.94%;其次是华北地区,占总量的22.97%;华东地区位列第三,占总量的19.59%。详见图列:

 图11 App大区分布图

  • 广东省应用数量以40.58%的占比居全国第一

从省级区域来看,教育类App广东省应用数量占全国总量的40.58%,位居第一;北京市应用数量占全国总量的18.48%,位居第二;湖南省应用数量占全国总量的4.71%,稳居第三。以下是排名TOP10的情况:

图12应用数量占比TOP10

 

四、本季度增量情况

  • Android应用数量4月份环比增长达到31.96%

本季度Android应用数量共计200856个,从月度上看,本季度的三个月Android应用数量增速4月份环比增长最快,环比增加31.96%,但6月新增应用共计62610款,环比下降12.60%。详见下图:

 图13 月度环比增速图

  • 应用监测渠道增量情况

1.应用监测渠道4月增长较快

本季度应用监测新增渠道趋势较平缓,应用新增渠道共计109个,4月份新增16个渠道,5月份新增76个渠道,6月份新增17个渠道。详见下图:

 图14 新增渠道情况

2.本季度游戏类增量最多

从应用行业上看,教育类仍是新增应用的主要类别,占新增应用31.51%;医疗卫生类新增数量位列第二,占新增应用15.60%;金融类新增数量位列第三,占新增应用的14.66%。详见下图:

 图15 新增应用行业分布图

 

五、移动应用个人信息安全案例分析

4月27日,国家网信办、发改委等12部门联合发布《网络安全审查办法》,今年6月1日起实施。网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,主要包括产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害等。

(一)某教育应用存在APK被篡改进行二次打包

技术人员通过在APK的主界面中,嵌入提示代码,发现可以对客户端程序添加或修改代码,修改客户端资源图片,配置信息、图标,添加广告,推广自己的产品,再生成新的客户端程序。在APK的主界面中,嵌入提示代码, 详见如下:

添加成功后,回编译、签名,安装在手机上的效果如下:

(二)某应用的验证码可绕过漏洞

技术人员在对某款应用进行反编译时,发现此应用存在可绕过验证码的验证对手机号直接进行修改。详见如下:

经测试,App修改手机号需要验证码进行验证,如下:

通过以下类接口,可直接对手机号进行修改,绕过验证码的验证:https://www.xxx.com/IOT_SBS/a/my/userinfo/phoneModify.do

当前手机号:

使用此接口直接进行修改,如下:

修改成功,如下所示:

(三)传输过程中的数据被解密

经检测,发现该App在进行网络传输时,如果使用的是HTTPS SSL加密协议,是否对链路中的SSL加密Cert证书做了合法性的校验checkClientTrusted/checkServerTrusted等函数,以防止传输过程中的数据被解密,从而协议被逆向破解。具体详情如下:

设置代理,抓取数据包的结果如下:

https协议传输,可抓取https协议传数据包

反编译发现存在证书本地明文存储的情况,如下:

在反编译源码中搜索证书名字,可定位获取到证书密钥,从而导致使用双向校验被绕过,如下:

 

六、第二季度App风险监测评估总结

(一)提防应用存在恶意程序损害用户利益

从恶意应用检测数据来看,已检测的应用中有7.68%的App存在恶意程序,都有不同程度的损害用户行为。据国家互联网应急中心发布的一份报告显示,今年上半年,以移动互联网为载体的虚假贷款App或网站有1.5万个,在此类虚假贷款App或网站上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息的用户数量超过90万。大量受害用户在诈骗平台支付了上万元的所谓“担保费”“手续费”费用,经济利益受到实质损害。这些虚假的“贷款App”并不会提供真实的贷款业务,仅用于诈骗分子骗取用户的隐私信息和钱财。然而,由于借款人渴求尽快拿到借款,往往会轻易跳进“骗局”。

截止目前大数据平台共计收录Android应用400万款,收录超500个应用渠道,能对各类App市场的App进行相似扫描检测,且通过强大的爬虫系统实时获取更新应用,可以及早发现仿冒App,防止个人信息泄露,维护应用运营企业利益和最终用户利益。

(二)各方越来越关注个人隐私保护,作为App运营企业要自律

App个人信息安全保护不仅是监管部门的任务,它涉及多个主体,需要政府部门、App企业、SDK企业、手机企业、应用商店企业、行业组织、研究机构共同努力,形成个人信息保护的良好生态和强大合力。与此同时,作为App开发和运营企业要做好自律,企业是维护网络安全的主体,为实现一些功能,在收集个人信息收集时要做好平衡、把握好度,在相关功能实现后,企业应当将如何保护个人信息作为核心竞争力。

(三)网络安全离不开安全技术和产业的支撑

没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。当前,各种形式的网络攻击、黑客入侵、恶意代码、安全漏洞层出不穷,对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗,保障网络安全离不开网络安全技术和产业的有力支撑。我们作为专业的移动信息安全综合服务提供商,一直致力于移动应用安全技术研究。通过前沿的创新理念、领先的专业技术、优质的解决方案、深度的行业合作等,时刻为新的技术框架、新的开发平台提供强有力的技术支撑和安全防护服务。

移动互联网系统与应用安全国家工程实验室

中国信息通信研究院安全研究所

北京智游网安科技有限公司

2020年06月30日

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多