2015年,CNNIC統(tǒng)計顯示我國手機網(wǎng)民規(guī)模達6.20億,手機上網(wǎng)人群的占比提升至90% 。隨著移動端用戶群體的快速擴張,除了一開始就注重移動市場的新互聯(lián)網(wǎng)企業(yè)之外,傳統(tǒng)企業(yè)也正不斷提高對移動端的重視程度并加大投入,移動端市場的競爭呈現(xiàn)白熱化趨勢。

       截止2015年12月31日,安卓APP總體數(shù)量已超過140萬。據(jù)Yahoo Flurry 統(tǒng)計分析,2015年安卓APP整體同比增長超過14%,其中面向細分市場的個性化APP爆炸性增長達332%。新聞雜志、商務理財和旅行出游等APP,2015年的增長率也超過100%。

       移動APP已經(jīng)全面覆蓋衣食住行,“指尖社會”的安全風險也隨著急遽聚攏的財富而不斷推高。

       不安全的“指尖社會”

       互聯(lián)網(wǎng)的PC端安全經(jīng)過十幾年的實踐,已經(jīng)較為完善,但是移動端安全目前還是短板,傳統(tǒng)的PC端安全防護措施無法有效保障移動端安全,作為移動端重要載體的APP因此安全事件頻發(fā)。大量安全事件中,APP的安全漏洞被黑客作為攻擊入口,通過侵入APP獲取用戶隱私以及企業(yè)數(shù)據(jù)庫存儲的數(shù)據(jù),損壞用戶和企業(yè)的利益,影響惡劣。

       2015年,APP安全事件泄露的信息以用戶的姓名、地址、賬號、密碼、手機號等信息為主,尤其金融理財和生活服務類的APP是安全事件爆發(fā)的重災區(qū)。僅以烏云漏洞平臺曝光的安全漏洞為例,2015年,超過10家知名APP被曝存在安全漏洞可導致超1000萬用戶隱私泄露,這些安全漏洞的種類不一,漏洞的利用攻擊手法也不同,但是攻擊的最終指向目標都是用戶隱私及企業(yè)數(shù)據(jù)。

       觸目驚心的安全現(xiàn)狀,超9成APP含有安全漏洞

       截止2015年12月31日,網(wǎng)蛙科技對當前市場上129萬個多類別的APP做了全面的漏洞掃描檢測,檢測結果顯示 ,App漏洞總量超過1700萬個,僅程序代碼中硬編碼開發(fā)者密碼(5744940個)、Sqllite SQLlnject漏洞(2196703個)與ContentProvider SQL lnjection漏洞(1243679)三類漏洞數(shù)量就超過918萬個。

       據(jù)檢測結果,129萬多個被檢測APP中,超過95%以上APP含有不同類型的安全漏洞,平均每個APP含13.8個漏洞,高危漏洞比例達16%。

       2015年高中低危漏洞分布圖

        1、APP 九大行業(yè)榜單產(chǎn)品,平均漏洞數(shù)達到9.3個

         網(wǎng)蛙科技根據(jù)2015的APP年度分類排行榜,經(jīng)綜合考慮,選取視頻、理財、音樂、電商、新聞、社交、自拍、工具以及游戲九類APP榜單(參考艾媒咨詢、艾瑞網(wǎng)、互聯(lián)網(wǎng)周刊、獵豹移動等APP排行榜榜單),共計90個APP產(chǎn)品進行了檢測。

         據(jù)檢測結果,90個APP榜單產(chǎn)品(以發(fā)行的最新版本漏洞掃描檢測結果數(shù)據(jù)為準),漏洞總數(shù)達到847個,平均每個APP含有9.3個漏洞。分行業(yè)計,游戲行業(yè)所含漏洞數(shù)最高,平均漏洞數(shù)目超過12個,安全隱患相對較大;金融理財、電商、社交這三個行業(yè)的平均漏洞數(shù)都接近或超過10個,同樣需要高度重視。

         這些被檢測的APP中近70%面世時間達3-5年,具備成熟的市場口碑,當前用戶規(guī)模和資產(chǎn)規(guī)模都高于同行業(yè)其他產(chǎn)品。它們高于普通APP的商業(yè)價值也更容易吸引黑產(chǎn)注意,如果遭遇安全事故,對APP有形的資產(chǎn)和無形的品牌都將造成嚴重損失。網(wǎng)蛙科技建議APP開發(fā)者們加強安全工作,切實提高產(chǎn)品的安全性,更好地維護APP用戶利益和公司的品牌形象。

         2、應用商店安全檢測不到位,無法完全保障上架APP安全

         網(wǎng)蛙科技對當前市場上兩類應用商店的APP進行檢測,分別為豌豆莢、應用寶、360手機助手等知名獨立第三方應用商店,以及小米應用商店、華為應用市場等終端廠商自建的應用商店。

         據(jù)不完全統(tǒng)計,截止2015年12月,手機應用商店漏洞總數(shù)超過1700萬,單個應用商店最高漏洞數(shù)目超過493萬個,其中第三方應用商店漏洞數(shù)目平均達到57萬個,終端廠商自建的應用商店漏洞數(shù)目平均達到64萬個,第三方應用商店的安全系數(shù)相對高于終端廠商自建的應用商店。

          據(jù)艾媒咨詢,從當前市場APP下載情況來看,APP下載渠道占比最高的為第三方應用商店(占比54%),其次為終端廠商自建的應用商店(占比34%),這兩大類應用商店是當前用戶下載APP的主要渠道。由于APP已經(jīng)實質性地觸及個人財產(chǎn)信息與隱私信息等,用戶對APP安全性的要求不斷提高,與此同步上漲的是用戶對應用商店安全工作的不滿情緒。截止2015年12月,超過60%用戶認為應用商店應該對商店內惡意軟件的出現(xiàn)負審核不嚴的責任。2016年,應用商店需要在安全能力提升方面做更多工作。

          部分手機應用商店APP漏洞檢測結果

         3、19類行業(yè)漏洞檢測,游戲和生活服務類APP危險系數(shù)最高

         網(wǎng)蛙科技對當前市場上包括金融理財、網(wǎng)絡購物、商務辦公等19類APP進行了分類漏洞統(tǒng)計。需警惕的是,直接涉及數(shù)據(jù)資產(chǎn)、用戶隱私等高商業(yè)價值信息的行業(yè),APP檢測結果顯示漏洞分布數(shù)目遠高于其他行業(yè)。

         據(jù)檢測結果,直接關聯(lián)數(shù)據(jù)資產(chǎn)(如銀行卡、移動支付等信息)的APP行業(yè)漏洞數(shù)目最高,游戲類APP漏洞數(shù)目高達457萬,生活服務類APP以250萬的漏洞數(shù)目排名第二,購物、金融理財類APP漏洞數(shù)目均超過80萬;直接關聯(lián)用戶隱私(如姓名、聯(lián)系方式信息)的APP漏洞數(shù)量也非常高,需要引起重視,社交、辦公類APP漏洞數(shù)量分別達到139萬和100萬,而影音、教育類的APP漏洞數(shù)量也均超過50萬。

         近幾年由漏洞引發(fā)的APP安全事故已經(jīng)表明,無論是哪個行業(yè),漏洞對APP安全都具有“一票否決權”。安全是一切發(fā)展的基礎,APP開發(fā)者需要加強安全工作,不可掉以輕心。

         2015年全行業(yè)APP漏洞分布圖

         移動APP的安全問題涵蓋開發(fā)、發(fā)布、維護等,貫穿APP產(chǎn)品的整個生命周期,因此網(wǎng)蛙科技針對當前移動APP的安全現(xiàn)狀,提出以下幾點建議,供行業(yè)從業(yè)者參考:

         (1)安全工作,從開發(fā)抓起

         當前APP市場呈現(xiàn)井噴式增長,跑馬圈地的格局導致不少APP開發(fā)者因為急于占領市場,而相對忽視了APP開發(fā)時的安全工作。網(wǎng)蛙科技檢測中發(fā)現(xiàn)超過20%的漏洞是由于開發(fā)者的疏忽導致的,認真遵循APP開發(fā)的安全編程規(guī)范是完全可以避免的。

         當前市場上,APP主流發(fā)行渠道為應用商店,其中第三方的應用商店占比最高。應用商店應負起責任,為上架的APP進行更全面可靠的安全測評 。滿足用戶的安全需求,同時也為APP開發(fā)商進行最后一道安全把關。具體可借鑒歐美地區(qū)應用商店,對于在其應用商店上架的APP,設置安全性的權重,將安全性高低與APP信譽相關聯(lián),既維護了用戶對APP安全的知情權,更提升應用商店自身的品牌形象。

         (3)即時監(jiān)測及時修復

         (4)防范0-day漏洞,使APP更安全

         信息安全意義上的0-day漏洞是指軟件廠商在知曉并發(fā)布相關補丁前就被掌握或者公開的漏洞信息。高危險級別的0-day漏洞如果被互聯(lián)網(wǎng)不法分子利用,會對軟件產(chǎn)品產(chǎn)生巨大的威脅,極大的影響用戶體驗甚至損害品牌價值。如2015年爆發(fā)的Hacking Team事件,該公司就是主要通過0-day漏洞進行不當盈利,此次事件中泄露的漏洞數(shù)據(jù)對全球眾多公司造成了嚴重影響。

         而與此相對的是,絕大部分的APP開發(fā)者并不具備0-day漏洞挖掘能力,同時因為漏洞挖掘耗時久,從商業(yè)效益上說,企業(yè)自行挖掘0-day漏洞的性價比不高,建議APP開發(fā)者與0-day漏洞研究團隊合作,借助專業(yè)的力量,打造更加安全的APP產(chǎn)品。APP安全,從防護漏洞開始

         2015 年,云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)技術和相關產(chǎn)業(yè)迅速崛起,互聯(lián)網(wǎng)移動端的發(fā)展將占據(jù)越來越重要的位置, 作為載體之一的APP的安全更是互聯(lián)網(wǎng)安全至關重要的一環(huán)。

         國家對APP安全的規(guī)范工作正在不斷建設與完善。2014年4月至9月工業(yè)和信息化部聯(lián)合公安部、工商總局在全國范圍開展打擊移動互聯(lián)網(wǎng)惡意程序專項行動,將互聯(lián)網(wǎng)惡意程序設為重點打擊治理項目之一,督促應用商店落實安全責任。國家網(wǎng)信辦主任魯煒也曾公開表示,網(wǎng)信辦將出臺APP應用程序發(fā)展管理辦法。當前APP市場亂象的生存空間將不斷縮小,APP開發(fā)者應提前部署應對措施。