2015年"安卓APP安全漏洞分析报告"
2015年,CNNIC统计显示我国手机网民规模达6.20亿,手机上网人群的占比提升至90% 。随着移动端用户群体的快速扩张,除了一开始就注重移动市场的新互联网企业之外,传统企业也正不断提高对移动端的重视程度并加大投入,移动端市场的竞争呈现白热化趋势。
截止2015年12月31日,安卓APP总体数量已超过140万。据Yahoo Flurry 统计分析,2015年安卓APP整体同比增长超过14%,其中面向细分市场的个性化APP爆炸性增长达332%。新闻杂志、商务理财和旅行出游等APP,2015年的增长率也超过100%。
移动APP已经全面覆盖衣食住行,“指尖社会”的安全风险也随着急遽聚拢的财富而不断推高。
不安全的“指尖社会”
互联网的PC端安全经过十几年的实践,已经较为完善,但是移动端安全目前还是短板,传统的PC端安全防护措施无法有效保障移动端安全,作为移动端重要载体的APP因此安全事件频发。
大量安全事件中,APP的安全漏洞被黑客作为攻击入口,通过侵入APP获取用户隐私以及企业数据库存储的数据,损坏用户和企业的利益,影响恶劣。
2015年,APP安全事件泄露的信息以用户的姓名、地址、账号、密码、手机号等信息为主,尤其金融理财和生活服务类的APP是安全事件爆发的重灾区。仅以乌云漏洞平台曝光的安全漏洞为例,2015年,超过10家知名APP被曝存在安全漏洞可导致超1000万用户隐私泄露,这些安全漏洞的种类不一,漏洞的利用攻击手法也不同,但是攻击的最终指向目标都是用户隐私及企业数据。
触目惊心的安全现状,超9成APP含有安全漏洞
截止2015年12月31日,网蛙科技对当前市场上129万个多类别的APP做了全面的漏洞扫描检测,检测结果显示 ,App漏洞总量超过1700万个,仅程序代码中硬编码开发者密码(5744940个)、Sqllite SQLlnject漏洞(2196703个)与ContentProvider SQL lnjection漏洞(1243679)三类漏洞数量就超过918万个。
据检测结果,129万多个被检测APP中,超过95%以上APP含有不同类型的安全漏洞,平均每个APP含13.8个漏洞,高危漏洞比例达16%。
2015年高中低危漏洞分布图
1、APP 九大行业榜单产品,平均漏洞数达到9.3个
网蛙科技根据2015的APP年度分类排行榜,经综合考虑,选取视频、理财、音乐、电商、新闻、社交、自拍、工具以及游戏九类APP榜单(参考艾媒咨询、艾瑞网、互联网周刊、猎豹移动等APP排行榜榜单),共计90个APP产品进行了检测。
据检测结果,90个APP榜单产品(以发行的最新版本漏洞扫描检测结果数据为准),漏洞总数达到847个,平均每个APP含有9.3个漏洞。分行业计,游戏行业所含漏洞数最高,平均漏洞数目超过12个,安全隐患相对较大;金融理财、电商、社交这三个行业的平均漏洞数都接近或超过10个,同样需要高度重视。
这些被检测的APP中近70%面世时间达3-5年,具备成熟的市场口碑,当前用户规模和资产规模都高于同行业其他产品。它们高于普通APP的商业价值也更容易吸引黑产注意,如果遭遇安全事故,对APP有形的资产和无形的品牌都将造成严重损失。网蛙科技建议APP开发者们加强安全工作,切实提高产品的安全性,更好地维护APP用户利益和公司的品牌形象。
2、应用商店安全检测不到位,无法完全保障上架APP安全
网蛙科技对当前市场上两类应用商店的APP进行检测,分别为豌豆荚、应用宝、360手机助手等知名独立第三方应用商店,以及小米应用商店、华为应用市场等终端厂商自建的应用商店。
据不完全统计,截止2015年12月,手机应用商店漏洞总数超过1700万,单个应用商店最高漏洞数目超过493万个,其中第三方应用商店漏洞数目平均达到57万个,终端厂商自建的应用商店漏洞数目平均达到64万个,第三方应用商店的安全系数相对高于终端厂商自建的应用商店。
据艾媒咨询,从当前市场APP下载情况来看,APP下载渠道占比最高的为第三方应用商店(占比54%),其次为终端厂商自建的应用商店(占比34%),这两大类应用商店是当前用户下载APP的主要渠道。由于APP已经实质性地触及个人财产信息与隐私信息等,用户对APP安全性的要求不断提高,与此同步上涨的是用户对应用商店安全工作的不满情绪。截止2015年12月,超过60%用户认为应用商店应该对商店内恶意软件的出现负审核不严的责任。2016年,应用商店需要在安全能力提升方面做更多工作。
部分手机应用商店APP漏洞检测结果
3、19类行业漏洞检测,游戏和生活服务类APP危险系数最高
网蛙科技对当前市场上包括金融理财、网络购物、商务办公等19类APP进行了分类漏洞统计。需警惕的是,直接涉及数据资产、用户隐私等高商业价值信息的行业,APP检测结果显示漏洞分布数目远高于其他行业。
据检测结果,直接关联数据资产(如银行卡、移动支付等信息)的APP行业漏洞数目最高,游戏类APP漏洞数目高达457万,生活服务类APP以250万的漏洞数目排名第二,购物、金融理财类APP漏洞数目均超过80万;直接关联用户隐私(如姓名、联系方式信息)的APP漏洞数量也非常高,需要引起重视,社交、办公类APP漏洞数量分别达到139万和100万,而影音、教育类的APP漏洞数量也均超过50万。
近几年由漏洞引发的APP安全事故已经表明,无论是哪个行业,漏洞对APP安全都具有“一票否决权”。安全是一切发展的基础,APP开发者需要加强安全工作,不可掉以轻心。
2015年全行业APP漏洞分布图
给移动APP漏洞防护的四点建议
移动APP的安全问题涵盖开发、发布、维护等,贯穿APP产品的整个生命周期,因此网蛙科技针对当前移动APP的安全现状,提出以下几点建议,供行业从业者参考:
(1)安全工作,从开发抓起
当前APP市场呈现井喷式增长,跑马圈地的格局导致不少APP开发者因为急于占领市场,而相对忽视了APP开发时的安全工作。
网蛙科技检测中发现超过20%的漏洞是由于开发者的疏忽导致的,认真遵循APP开发的安全编程规范是完全可以避免的。
(2)应用商店,把好安全关
当前市场上,APP主流发行渠道为应用商店,其中第三方的应用商店占比最高。应用商店应负起责任,为上架的APP进行更全面可靠的安全测评 。满足用户的安全需求,同时也为APP开发商进行最后一道安全把关。
具体可借鉴欧美地区应用商店,对于在其应用商店上架的APP,设置安全性的权重,将安全性高低与APP信誉相关联,既维护了用户对APP安全的知情权,更提升应用商店自身的品牌形象。
(3)即时监测及时修复
随着移动互联网渗透率的大幅提高,移动APP漏洞的曝光频率持续走高。漏洞曝光之后,厂商应高度重视并及时响应,在尽可能短的时间内推出相应的漏洞修复措施。
当前市面上仍有相当大比例的APP漏洞是属于早期已有尚未修复的漏洞,网蛙科技此次检测就有超过35%的漏洞是属于此类漏洞。建议APP开发者应持续关注最新安全信息,及时修复漏洞。
(4)防范0-day漏洞,使APP更安全