2015年,CNNIC統(tǒng)計顯示我國手機網(wǎng)民規(guī)模達(dá)6.20億,手機上網(wǎng)人群的占比提升至90% 。隨著移動端用戶群體的快速擴張,除了一開始就注重移動市場的新互聯(lián)網(wǎng)企業(yè)之外,傳統(tǒng)企業(yè)也正不斷提高對移動端的重視程度并加大投入,移動端市場的競爭呈現(xiàn)白熱化趨勢。

       截止2015年12月31日,安卓APP總體數(shù)量已超過140萬。據(jù)Yahoo Flurry 統(tǒng)計分析,2015年安卓APP整體同比增長超過14%,其中面向細(xì)分市場的個性化APP爆炸性增長達(dá)332%。新聞雜志、商務(wù)理財和旅行出游等APP,2015年的增長率也超過100%。

       移動APP已經(jīng)全面覆蓋衣食住行,“指尖社會”的安全風(fēng)險也隨著急遽聚攏的財富而不斷推高。

       不安全的“指尖社會”

       互聯(lián)網(wǎng)的PC端安全經(jīng)過十幾年的實踐,已經(jīng)較為完善,但是移動端安全目前還是短板,傳統(tǒng)的PC端安全防護措施無法有效保障移動端安全,作為移動端重要載體的APP因此安全事件頻發(fā)。大量安全事件中,APP的安全漏洞被黑客作為攻擊入口,通過侵入APP獲取用戶隱私以及企業(yè)數(shù)據(jù)庫存儲的數(shù)據(jù),損壞用戶和企業(yè)的利益,影響惡劣。

       2015年,APP安全事件泄露的信息以用戶的姓名、地址、賬號、密碼、手機號等信息為主,尤其金融理財和生活服務(wù)類的APP是安全事件爆發(fā)的重災(zāi)區(qū)。僅以烏云漏洞平臺曝光的安全漏洞為例,2015年,超過10家知名APP被曝存在安全漏洞可導(dǎo)致超1000萬用戶隱私泄露,這些安全漏洞的種類不一,漏洞的利用攻擊手法也不同,但是攻擊的最終指向目標(biāo)都是用戶隱私及企業(yè)數(shù)據(jù)。

       觸目驚心的安全現(xiàn)狀,超9成APP含有安全漏洞

       截止2015年12月31日,網(wǎng)蛙科技對當(dāng)前市場上129萬個多類別的APP做了全面的漏洞掃描檢測,檢測結(jié)果顯示 ,App漏洞總量超過1700萬個,僅程序代碼中硬編碼開發(fā)者密碼(5744940個)、Sqllite SQLlnject漏洞(2196703個)與ContentProvider SQL lnjection漏洞(1243679)三類漏洞數(shù)量就超過918萬個。

       據(jù)檢測結(jié)果,129萬多個被檢測APP中,超過95%以上APP含有不同類型的安全漏洞,平均每個APP含13.8個漏洞,高危漏洞比例達(dá)16%。

       2015年高中低危漏洞分布圖

        1、APP 九大行業(yè)榜單產(chǎn)品,平均漏洞數(shù)達(dá)到9.3個

         網(wǎng)蛙科技根據(jù)2015的APP年度分類排行榜,經(jīng)綜合考慮,選取視頻、理財、音樂、電商、新聞、社交、自拍、工具以及游戲九類APP榜單(參考艾媒咨詢、艾瑞網(wǎng)、互聯(lián)網(wǎng)周刊、獵豹移動等APP排行榜榜單),共計90個APP產(chǎn)品進(jìn)行了檢測。

         據(jù)檢測結(jié)果,90個APP榜單產(chǎn)品(以發(fā)行的最新版本漏洞掃描檢測結(jié)果數(shù)據(jù)為準(zhǔn)),漏洞總數(shù)達(dá)到847個,平均每個APP含有9.3個漏洞。分行業(yè)計,游戲行業(yè)所含漏洞數(shù)最高,平均漏洞數(shù)目超過12個,安全隱患相對較大;金融理財、電商、社交這三個行業(yè)的平均漏洞數(shù)都接近或超過10個,同樣需要高度重視。

         這些被檢測的APP中近70%面世時間達(dá)3-5年,具備成熟的市場口碑,當(dāng)前用戶規(guī)模和資產(chǎn)規(guī)模都高于同行業(yè)其他產(chǎn)品。它們高于普通APP的商業(yè)價值也更容易吸引黑產(chǎn)注意,如果遭遇安全事故,對APP有形的資產(chǎn)和無形的品牌都將造成嚴(yán)重?fù)p失。網(wǎng)蛙科技建議APP開發(fā)者們加強安全工作,切實提高產(chǎn)品的安全性,更好地維護APP用戶利益和公司的品牌形象。

         2、應(yīng)用商店安全檢測不到位,無法完全保障上架APP安全

         網(wǎng)蛙科技對當(dāng)前市場上兩類應(yīng)用商店的APP進(jìn)行檢測,分別為豌豆莢、應(yīng)用寶、360手機助手等知名獨立第三方應(yīng)用商店,以及小米應(yīng)用商店、華為應(yīng)用市場等終端廠商自建的應(yīng)用商店。

         據(jù)不完全統(tǒng)計,截止2015年12月,手機應(yīng)用商店漏洞總數(shù)超過1700萬,單個應(yīng)用商店最高漏洞數(shù)目超過493萬個,其中第三方應(yīng)用商店漏洞數(shù)目平均達(dá)到57萬個,終端廠商自建的應(yīng)用商店漏洞數(shù)目平均達(dá)到64萬個,第三方應(yīng)用商店的安全系數(shù)相對高于終端廠商自建的應(yīng)用商店。

          據(jù)艾媒咨詢,從當(dāng)前市場APP下載情況來看,APP下載渠道占比最高的為第三方應(yīng)用商店(占比54%),其次為終端廠商自建的應(yīng)用商店(占比34%),這兩大類應(yīng)用商店是當(dāng)前用戶下載APP的主要渠道。由于APP已經(jīng)實質(zhì)性地觸及個人財產(chǎn)信息與隱私信息等,用戶對APP安全性的要求不斷提高,與此同步上漲的是用戶對應(yīng)用商店安全工作的不滿情緒。截止2015年12月,超過60%用戶認(rèn)為應(yīng)用商店應(yīng)該對商店內(nèi)惡意軟件的出現(xiàn)負(fù)審核不嚴(yán)的責(zé)任。2016年,應(yīng)用商店需要在安全能力提升方面做更多工作。

          部分手機應(yīng)用商店APP漏洞檢測結(jié)果

         3、19類行業(yè)漏洞檢測,游戲和生活服務(wù)類APP危險系數(shù)最高

         網(wǎng)蛙科技對當(dāng)前市場上包括金融理財、網(wǎng)絡(luò)購物、商務(wù)辦公等19類APP進(jìn)行了分類漏洞統(tǒng)計。需警惕的是,直接涉及數(shù)據(jù)資產(chǎn)、用戶隱私等高商業(yè)價值信息的行業(yè),APP檢測結(jié)果顯示漏洞分布數(shù)目遠(yuǎn)高于其他行業(yè)。

         據(jù)檢測結(jié)果,直接關(guān)聯(lián)數(shù)據(jù)資產(chǎn)(如銀行卡、移動支付等信息)的APP行業(yè)漏洞數(shù)目最高,游戲類APP漏洞數(shù)目高達(dá)457萬,生活服務(wù)類APP以250萬的漏洞數(shù)目排名第二,購物、金融理財類APP漏洞數(shù)目均超過80萬;直接關(guān)聯(lián)用戶隱私(如姓名、聯(lián)系方式信息)的APP漏洞數(shù)量也非常高,需要引起重視,社交、辦公類APP漏洞數(shù)量分別達(dá)到139萬和100萬,而影音、教育類的APP漏洞數(shù)量也均超過50萬。

         近幾年由漏洞引發(fā)的APP安全事故已經(jīng)表明,無論是哪個行業(yè),漏洞對APP安全都具有“一票否決權(quán)”。安全是一切發(fā)展的基礎(chǔ),APP開發(fā)者需要加強安全工作,不可掉以輕心。

         2015年全行業(yè)APP漏洞分布圖

         移動APP的安全問題涵蓋開發(fā)、發(fā)布、維護等,貫穿APP產(chǎn)品的整個生命周期,因此網(wǎng)蛙科技針對當(dāng)前移動APP的安全現(xiàn)狀,提出以下幾點建議,供行業(yè)從業(yè)者參考:

         (1)安全工作,從開發(fā)抓起

         當(dāng)前APP市場呈現(xiàn)井噴式增長,跑馬圈地的格局導(dǎo)致不少APP開發(fā)者因為急于占領(lǐng)市場,而相對忽視了APP開發(fā)時的安全工作。網(wǎng)蛙科技檢測中發(fā)現(xiàn)超過20%的漏洞是由于開發(fā)者的疏忽導(dǎo)致的,認(rèn)真遵循APP開發(fā)的安全編程規(guī)范是完全可以避免的。

         當(dāng)前市場上,APP主流發(fā)行渠道為應(yīng)用商店,其中第三方的應(yīng)用商店占比最高。應(yīng)用商店應(yīng)負(fù)起責(zé)任,為上架的APP進(jìn)行更全面可靠的安全測評 。滿足用戶的安全需求,同時也為APP開發(fā)商進(jìn)行最后一道安全把關(guān)。具體可借鑒歐美地區(qū)應(yīng)用商店,對于在其應(yīng)用商店上架的APP,設(shè)置安全性的權(quán)重,將安全性高低與APP信譽相關(guān)聯(lián),既維護了用戶對APP安全的知情權(quán),更提升應(yīng)用商店自身的品牌形象。

         (3)即時監(jiān)測及時修復(fù)

         (4)防范0-day漏洞,使APP更安全

         信息安全意義上的0-day漏洞是指軟件廠商在知曉并發(fā)布相關(guān)補丁前就被掌握或者公開的漏洞信息。高危險級別的0-day漏洞如果被互聯(lián)網(wǎng)不法分子利用,會對軟件產(chǎn)品產(chǎn)生巨大的威脅,極大的影響用戶體驗甚至損害品牌價值。如2015年爆發(fā)的Hacking Team事件,該公司就是主要通過0-day漏洞進(jìn)行不當(dāng)盈利,此次事件中泄露的漏洞數(shù)據(jù)對全球眾多公司造成了嚴(yán)重影響。

         而與此相對的是,絕大部分的APP開發(fā)者并不具備0-day漏洞挖掘能力,同時因為漏洞挖掘耗時久,從商業(yè)效益上說,企業(yè)自行挖掘0-day漏洞的性價比不高,建議APP開發(fā)者與0-day漏洞研究團隊合作,借助專業(yè)的力量,打造更加安全的APP產(chǎn)品。APP安全,從防護漏洞開始

         2015 年,云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)和相關(guān)產(chǎn)業(yè)迅速崛起,互聯(lián)網(wǎng)移動端的發(fā)展將占據(jù)越來越重要的位置, 作為載體之一的APP的安全更是互聯(lián)網(wǎng)安全至關(guān)重要的一環(huán)。

         國家對APP安全的規(guī)范工作正在不斷建設(shè)與完善。2014年4月至9月工業(yè)和信息化部聯(lián)合公安部、工商總局在全國范圍開展打擊移動互聯(lián)網(wǎng)惡意程序?qū)ｍ椥袆?將互聯(lián)網(wǎng)惡意程序設(shè)為重點打擊治理項目之一,督促應(yīng)用商店落實安全責(zé)任。國家網(wǎng)信辦主任魯煒也曾公開表示,網(wǎng)信辦將出臺APP應(yīng)用程序發(fā)展管理辦法。當(dāng)前APP市場亂象的生存空間將不斷縮小,APP開發(fā)者應(yīng)提前部署應(yīng)對措施。