2015年,CNNIC統(tǒng)計(jì)顯示我國手機(jī)網(wǎng)民規(guī)模達(dá)6.20億,手機(jī)上網(wǎng)人群的占比提升至90% 。隨著移動(dòng)端用戶群體的快速擴(kuò)張,除了一開始就注重移動(dòng)市場(chǎng)的新互聯(lián)網(wǎng)企業(yè)之外,傳統(tǒng)企業(yè)也正不斷提高對(duì)移動(dòng)端的重視程度并加大投入,移動(dòng)端市場(chǎng)的競(jìng)爭(zhēng)呈現(xiàn)白熱化趨勢(shì)。
截止2015年12月31日,安卓APP總體數(shù)量已超過140萬。據(jù)Yahoo Flurry 統(tǒng)計(jì)分析,2015年安卓APP整體同比增長超過14%,其中面向細(xì)分市場(chǎng)的個(gè)性化APP爆炸性增長達(dá)332%。新聞雜志、商務(wù)理財(cái)和旅行出游等APP,2015年的增長率也超過100%。
移動(dòng)APP已經(jīng)全面覆蓋衣食住行,“指尖社會(huì)”的安全風(fēng)險(xiǎn)也隨著急遽聚攏的財(cái)富而不斷推高。
不安全的“指尖社會(huì)”
互聯(lián)網(wǎng)的PC端安全經(jīng)過十幾年的實(shí)踐,已經(jīng)較為完善,但是移動(dòng)端安全目前還是短板,傳統(tǒng)的PC端安全防護(hù)措施無法有效保障移動(dòng)端安全,作為移動(dòng)端重要載體的APP因此安全事件頻發(fā)。
大量安全事件中,APP的安全漏洞被黑客作為攻擊入口,通過侵入APP獲取用戶隱私以及企業(yè)數(shù)據(jù)庫存儲(chǔ)的數(shù)據(jù),損壞用戶和企業(yè)的利益,影響惡劣。
2015年,APP安全事件泄露的信息以用戶的姓名、地址、賬號(hào)、密碼、手機(jī)號(hào)等信息為主,尤其金融理財(cái)和生活服務(wù)類的APP是安全事件爆發(fā)的重災(zāi)區(qū)。僅以烏云漏洞平臺(tái)曝光的安全漏洞為例,2015年,超過10家知名APP被曝存在安全漏洞可導(dǎo)致超1000萬用戶隱私泄露,這些安全漏洞的種類不一,漏洞的利用攻擊手法也不同,但是攻擊的最終指向目標(biāo)都是用戶隱私及企業(yè)數(shù)據(jù)。
觸目驚心的安全現(xiàn)狀,超9成APP含有安全漏洞
截止2015年12月31日,網(wǎng)蛙科技對(duì)當(dāng)前市場(chǎng)上129萬個(gè)多類別的APP做了全面的漏洞掃描檢測(cè),檢測(cè)結(jié)果顯示 ,App漏洞總量超過1700萬個(gè),僅程序代碼中硬編碼開發(fā)者密碼(5744940個(gè))、Sqllite SQLlnject漏洞(2196703個(gè))與ContentProvider SQL lnjection漏洞(1243679)三類漏洞數(shù)量就超過918萬個(gè)。
據(jù)檢測(cè)結(jié)果,129萬多個(gè)被檢測(cè)APP中,超過95%以上APP含有不同類型的安全漏洞,平均每個(gè)APP含13.8個(gè)漏洞,高危漏洞比例達(dá)16%。
2015年高中低危漏洞分布圖
1、APP 九大行業(yè)榜單產(chǎn)品,平均漏洞數(shù)達(dá)到9.3個(gè)
網(wǎng)蛙科技根據(jù)2015的APP年度分類排行榜,經(jīng)綜合考慮,選取視頻、理財(cái)、音樂、電商、新聞、社交、自拍、工具以及游戲九類APP榜單(參考艾媒咨詢、艾瑞網(wǎng)、互聯(lián)網(wǎng)周刊、獵豹移動(dòng)等APP排行榜榜單),共計(jì)90個(gè)APP產(chǎn)品進(jìn)行了檢測(cè)。
據(jù)檢測(cè)結(jié)果,90個(gè)APP榜單產(chǎn)品(以發(fā)行的最新版本漏洞掃描檢測(cè)結(jié)果數(shù)據(jù)為準(zhǔn)),漏洞總數(shù)達(dá)到847個(gè),平均每個(gè)APP含有9.3個(gè)漏洞。分行業(yè)計(jì),游戲行業(yè)所含漏洞數(shù)最高,平均漏洞數(shù)目超過12個(gè),安全隱患相對(duì)較大;金融理財(cái)、電商、社交這三個(gè)行業(yè)的平均漏洞數(shù)都接近或超過10個(gè),同樣需要高度重視。
這些被檢測(cè)的APP中近70%面世時(shí)間達(dá)3-5年,具備成熟的市場(chǎng)口碑,當(dāng)前用戶規(guī)模和資產(chǎn)規(guī)模都高于同行業(yè)其他產(chǎn)品。它們高于普通APP的商業(yè)價(jià)值也更容易吸引黑產(chǎn)注意,如果遭遇安全事故,對(duì)APP有形的資產(chǎn)和無形的品牌都將造成嚴(yán)重?fù)p失。網(wǎng)蛙科技建議APP開發(fā)者們加強(qiáng)安全工作,切實(shí)提高產(chǎn)品的安全性,更好地維護(hù)APP用戶利益和公司的品牌形象。
2、應(yīng)用商店安全檢測(cè)不到位,無法完全保障上架APP安全
網(wǎng)蛙科技對(duì)當(dāng)前市場(chǎng)上兩類應(yīng)用商店的APP進(jìn)行檢測(cè),分別為豌豆莢、應(yīng)用寶、360手機(jī)助手等知名獨(dú)立第三方應(yīng)用商店,以及小米應(yīng)用商店、華為應(yīng)用市場(chǎng)等終端廠商自建的應(yīng)用商店。
據(jù)不完全統(tǒng)計(jì),截止2015年12月,手機(jī)應(yīng)用商店漏洞總數(shù)超過1700萬,單個(gè)應(yīng)用商店最高漏洞數(shù)目超過493萬個(gè),其中第三方應(yīng)用商店漏洞數(shù)目平均達(dá)到57萬個(gè),終端廠商自建的應(yīng)用商店漏洞數(shù)目平均達(dá)到64萬個(gè),第三方應(yīng)用商店的安全系數(shù)相對(duì)高于終端廠商自建的應(yīng)用商店。
據(jù)艾媒咨詢,從當(dāng)前市場(chǎng)APP下載情況來看,APP下載渠道占比最高的為第三方應(yīng)用商店(占比54%),其次為終端廠商自建的應(yīng)用商店(占比34%),這兩大類應(yīng)用商店是當(dāng)前用戶下載APP的主要渠道。由于APP已經(jīng)實(shí)質(zhì)性地觸及個(gè)人財(cái)產(chǎn)信息與隱私信息等,用戶對(duì)APP安全性的要求不斷提高,與此同步上漲的是用戶對(duì)應(yīng)用商店安全工作的不滿情緒。截止2015年12月,超過60%用戶認(rèn)為應(yīng)用商店應(yīng)該對(duì)商店內(nèi)惡意軟件的出現(xiàn)負(fù)審核不嚴(yán)的責(zé)任。2016年,應(yīng)用商店需要在安全能力提升方面做更多工作。
部分手機(jī)應(yīng)用商店APP漏洞檢測(cè)結(jié)果
3、19類行業(yè)漏洞檢測(cè),游戲和生活服務(wù)類APP危險(xiǎn)系數(shù)最高
網(wǎng)蛙科技對(duì)當(dāng)前市場(chǎng)上包括金融理財(cái)、網(wǎng)絡(luò)購物、商務(wù)辦公等19類APP進(jìn)行了分類漏洞統(tǒng)計(jì)。需警惕的是,直接涉及數(shù)據(jù)資產(chǎn)、用戶隱私等高商業(yè)價(jià)值信息的行業(yè),APP檢測(cè)結(jié)果顯示漏洞分布數(shù)目遠(yuǎn)高于其他行業(yè)。
據(jù)檢測(cè)結(jié)果,直接關(guān)聯(lián)數(shù)據(jù)資產(chǎn)(如銀行卡、移動(dòng)支付等信息)的APP行業(yè)漏洞數(shù)目最高,游戲類APP漏洞數(shù)目高達(dá)457萬,生活服務(wù)類APP以250萬的漏洞數(shù)目排名第二,購物、金融理財(cái)類APP漏洞數(shù)目均超過80萬;直接關(guān)聯(lián)用戶隱私(如姓名、聯(lián)系方式信息)的APP漏洞數(shù)量也非常高,需要引起重視,社交、辦公類APP漏洞數(shù)量分別達(dá)到139萬和100萬,而影音、教育類的APP漏洞數(shù)量也均超過50萬。
近幾年由漏洞引發(fā)的APP安全事故已經(jīng)表明,無論是哪個(gè)行業(yè),漏洞對(duì)APP安全都具有“一票否決權(quán)”。安全是一切發(fā)展的基礎(chǔ),APP開發(fā)者需要加強(qiáng)安全工作,不可掉以輕心。
2015年全行業(yè)APP漏洞分布圖
給移動(dòng)APP漏洞防護(hù)的四點(diǎn)建議
移動(dòng)APP的安全問題涵蓋開發(fā)、發(fā)布、維護(hù)等,貫穿APP產(chǎn)品的整個(gè)生命周期,因此網(wǎng)蛙科技針對(duì)當(dāng)前移動(dòng)APP的安全現(xiàn)狀,提出以下幾點(diǎn)建議,供行業(yè)從業(yè)者參考:
(1)安全工作,從開發(fā)抓起
當(dāng)前APP市場(chǎng)呈現(xiàn)井噴式增長,跑馬圈地的格局導(dǎo)致不少APP開發(fā)者因?yàn)榧庇谡碱I(lǐng)市場(chǎng),而相對(duì)忽視了APP開發(fā)時(shí)的安全工作。
網(wǎng)蛙科技檢測(cè)中發(fā)現(xiàn)超過20%的漏洞是由于開發(fā)者的疏忽導(dǎo)致的,認(rèn)真遵循APP開發(fā)的安全編程規(guī)范是完全可以避免的。
(2)應(yīng)用商店,把好安全關(guān)
當(dāng)前市場(chǎng)上,APP主流發(fā)行渠道為應(yīng)用商店,其中第三方的應(yīng)用商店占比最高。應(yīng)用商店應(yīng)負(fù)起責(zé)任,為上架的APP進(jìn)行更全面可靠的安全測(cè)評(píng) 。滿足用戶的安全需求,同時(shí)也為APP開發(fā)商進(jìn)行最后一道安全把關(guān)。
具體可借鑒歐美地區(qū)應(yīng)用商店,對(duì)于在其應(yīng)用商店上架的APP,設(shè)置安全性的權(quán)重,將安全性高低與APP信譽(yù)相關(guān)聯(lián),既維護(hù)了用戶對(duì)APP安全的知情權(quán),更提升應(yīng)用商店自身的品牌形象。
(3)即時(shí)監(jiān)測(cè)及時(shí)修復(fù)
隨著移動(dòng)互聯(lián)網(wǎng)滲透率的大幅提高,移動(dòng)APP漏洞的曝光頻率持續(xù)走高。漏洞曝光之后,廠商應(yīng)高度重視并及時(shí)響應(yīng),在盡可能短的時(shí)間內(nèi)推出相應(yīng)的漏洞修復(fù)措施。
當(dāng)前市面上仍有相當(dāng)大比例的APP漏洞是屬于早期已有尚未修復(fù)的漏洞,網(wǎng)蛙科技此次檢測(cè)就有超過35%的漏洞是屬于此類漏洞。建議APP開發(fā)者應(yīng)持續(xù)關(guān)注最新安全信息,及時(shí)修復(fù)漏洞。
(4)防范0-day漏洞,使APP更安全
信息安全意義上的0-day漏洞是指軟件廠商在知曉并發(fā)布相關(guān)補(bǔ)丁前就被掌握或者公開的漏洞信息。高危險(xiǎn)級(jí)別的0-day漏洞如果被互聯(lián)網(wǎng)不法分子利用,會(huì)對(duì)軟件產(chǎn)品產(chǎn)生巨大的威脅,極大的影響用戶體驗(yàn)甚至損害品牌價(jià)值。如2015年爆發(fā)的Hacking Team事件,該公司就是主要通過0-day漏洞進(jìn)行不當(dāng)盈利,此次事件中泄露的漏洞數(shù)據(jù)對(duì)全球眾多公司造成了嚴(yán)重影響。
而與此相對(duì)的是,絕大部分的APP開發(fā)者并不具備0-day漏洞挖掘能力,同時(shí)因?yàn)槁┒赐诰蚝臅r(shí)久,從商業(yè)效益上說,企業(yè)自行挖掘0-day漏洞的性價(jià)比不高,建議APP開發(fā)者與0-day漏洞研究團(tuán)隊(duì)合作,借助專業(yè)的力量,打造更加安全的APP產(chǎn)品。
APP安全,從防護(hù)漏洞開始
2015 年,云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)和相關(guān)產(chǎn)業(yè)迅速崛起,互聯(lián)網(wǎng)移動(dòng)端的發(fā)展將占據(jù)越來越重要的位置, 作為載體之一的APP的安全更是互聯(lián)網(wǎng)安全至關(guān)重要的一環(huán)。
國家對(duì)APP安全的規(guī)范工作正在不斷建設(shè)與完善。2014年4月至9月工業(yè)和信息化部聯(lián)合公安部、工商總局在全國范圍開展打擊移動(dòng)互聯(lián)網(wǎng)惡意程序?qū)m?xiàng)行動(dòng),將互聯(lián)網(wǎng)惡意程序設(shè)為重點(diǎn)打擊治理項(xiàng)目之一,督促應(yīng)用商店落實(shí)安全責(zé)任。國家網(wǎng)信辦主任魯煒也曾公開表示,網(wǎng)信辦將出臺(tái)APP應(yīng)用程序發(fā)展管理辦法。當(dāng)前APP市場(chǎng)亂象的生存空間將不斷縮小,APP開發(fā)者應(yīng)提前部署應(yīng)對(duì)措施。
APP安全,是國家、開發(fā)商、廣大用戶三方面共同的需求。而隨著APP市場(chǎng)發(fā)展周期的推進(jìn),錯(cuò)綜復(fù)雜的安全情況,越來越高頻的安全威脅,都預(yù)示著APP安全攻防戰(zhàn)場(chǎng)焦點(diǎn)將從漏洞防護(hù)開始。參考互聯(lián)網(wǎng)移動(dòng)端安全發(fā)展的軌跡,APP開發(fā)者與獨(dú)立的第三方APP安全企業(yè)合作將成為互聯(lián)網(wǎng)移動(dòng)端安防的主流趨勢(shì)。