2015年,CNNIC統計顯示我國手機網民規模達6.20億,手機上網人群的占比提升至90% 。隨著移動端用戶群體的快速擴張,除了一開始就注重移動市場的新互聯網企業之外,傳統企業也正不斷提高對移動端的重視程度并加大投入,移動端市場的競爭呈現白熱化趨勢。

       截止2015年12月31日,安卓APP總體數量已超過140萬。據Yahoo Flurry 統計分析,2015年安卓APP整體同比增長超過14%,其中面向細分市場的個性化APP爆炸性增長達332%。新聞雜志、商務理財和旅行出游等APP,2015年的增長率也超過100%。

       移動APP已經全面覆蓋衣食住行,“指尖社會”的安全風險也隨著急遽聚攏的財富而不斷推高。

       不安全的“指尖社會”

       互聯網的PC端安全經過十幾年的實踐,已經較為完善,但是移動端安全目前還是短板,傳統的PC端安全防護措施無法有效保障移動端安全,作為移動端重要載體的APP因此安全事件頻發。大量安全事件中,APP的安全漏洞被黑客作為攻擊入口,通過侵入APP獲取用戶隱私以及企業數據庫存儲的數據,損壞用戶和企業的利益,影響惡劣。

       2015年,APP安全事件泄露的信息以用戶的姓名、地址、賬號、密碼、手機號等信息為主,尤其金融理財和生活服務類的APP是安全事件爆發的重災區。僅以烏云漏洞平臺曝光的安全漏洞為例,2015年,超過10家知名APP被曝存在安全漏洞可導致超1000萬用戶隱私泄露,這些安全漏洞的種類不一,漏洞的利用攻擊手法也不同,但是攻擊的最終指向目標都是用戶隱私及企業數據。

       觸目驚心的安全現狀,超9成APP含有安全漏洞

       截止2015年12月31日,網蛙科技對當前市場上129萬個多類別的APP做了全面的漏洞掃描檢測,檢測結果顯示 ,App漏洞總量超過1700萬個,僅程序代碼中硬編碼開發者密碼(5744940個)、Sqllite SQLlnject漏洞(2196703個)與ContentProvider SQL lnjection漏洞(1243679)三類漏洞數量就超過918萬個。

       據檢測結果,129萬多個被檢測APP中,超過95%以上APP含有不同類型的安全漏洞,平均每個APP含13.8個漏洞,高危漏洞比例達16%。

       2015年高中低危漏洞分布圖

        1、APP 九大行業榜單產品,平均漏洞數達到9.3個

         網蛙科技根據2015的APP年度分類排行榜,經綜合考慮,選取視頻、理財、音樂、電商、新聞、社交、自拍、工具以及游戲九類APP榜單(參考艾媒咨詢、艾瑞網、互聯網周刊、獵豹移動等APP排行榜榜單),共計90個APP產品進行了檢測。

         據檢測結果,90個APP榜單產品(以發行的最新版本漏洞掃描檢測結果數據為準),漏洞總數達到847個,平均每個APP含有9.3個漏洞。分行業計,游戲行業所含漏洞數最高,平均漏洞數目超過12個,安全隱患相對較大;金融理財、電商、社交這三個行業的平均漏洞數都接近或超過10個,同樣需要高度重視。

         這些被檢測的APP中近70%面世時間達3-5年,具備成熟的市場口碑,當前用戶規模和資產規模都高于同行業其他產品。它們高于普通APP的商業價值也更容易吸引黑產注意,如果遭遇安全事故,對APP有形的資產和無形的品牌都將造成嚴重損失。網蛙科技建議APP開發者們加強安全工作,切實提高產品的安全性,更好地維護APP用戶利益和公司的品牌形象。

         2、應用商店安全檢測不到位,無法完全保障上架APP安全

         網蛙科技對當前市場上兩類應用商店的APP進行檢測,分別為豌豆莢、應用寶、360手機助手等知名獨立第三方應用商店,以及小米應用商店、華為應用市場等終端廠商自建的應用商店。

         據不完全統計,截止2015年12月,手機應用商店漏洞總數超過1700萬,單個應用商店最高漏洞數目超過493萬個,其中第三方應用商店漏洞數目平均達到57萬個,終端廠商自建的應用商店漏洞數目平均達到64萬個,第三方應用商店的安全系數相對高于終端廠商自建的應用商店。

          據艾媒咨詢,從當前市場APP下載情況來看,APP下載渠道占比最高的為第三方應用商店(占比54%),其次為終端廠商自建的應用商店(占比34%),這兩大類應用商店是當前用戶下載APP的主要渠道。由于APP已經實質性地觸及個人財產信息與隱私信息等,用戶對APP安全性的要求不斷提高,與此同步上漲的是用戶對應用商店安全工作的不滿情緒。截止2015年12月,超過60%用戶認為應用商店應該對商店內惡意軟件的出現負審核不嚴的責任。2016年,應用商店需要在安全能力提升方面做更多工作。

          部分手機應用商店APP漏洞檢測結果

         3、19類行業漏洞檢測,游戲和生活服務類APP危險系數最高

         網蛙科技對當前市場上包括金融理財、網絡購物、商務辦公等19類APP進行了分類漏洞統計。需警惕的是,直接涉及數據資產、用戶隱私等高商業價值信息的行業,APP檢測結果顯示漏洞分布數目遠高于其他行業。

         據檢測結果,直接關聯數據資產(如銀行卡、移動支付等信息)的APP行業漏洞數目最高,游戲類APP漏洞數目高達457萬,生活服務類APP以250萬的漏洞數目排名第二,購物、金融理財類APP漏洞數目均超過80萬;直接關聯用戶隱私(如姓名、聯系方式信息)的APP漏洞數量也非常高,需要引起重視,社交、辦公類APP漏洞數量分別達到139萬和100萬,而影音、教育類的APP漏洞數量也均超過50萬。

         近幾年由漏洞引發的APP安全事故已經表明,無論是哪個行業,漏洞對APP安全都具有“一票否決權”。安全是一切發展的基礎,APP開發者需要加強安全工作,不可掉以輕心。

         2015年全行業APP漏洞分布圖

         移動APP的安全問題涵蓋開發、發布、維護等,貫穿APP產品的整個生命周期,因此網蛙科技針對當前移動APP的安全現狀,提出以下幾點建議,供行業從業者參考:

         (1)安全工作,從開發抓起

         當前APP市場呈現井噴式增長,跑馬圈地的格局導致不少APP開發者因為急于占領市場,而相對忽視了APP開發時的安全工作。網蛙科技檢測中發現超過20%的漏洞是由于開發者的疏忽導致的,認真遵循APP開發的安全編程規范是完全可以避免的。

         當前市場上,APP主流發行渠道為應用商店,其中第三方的應用商店占比最高。應用商店應負起責任,為上架的APP進行更全面可靠的安全測評 。滿足用戶的安全需求,同時也為APP開發商進行最后一道安全把關。具體可借鑒歐美地區應用商店,對于在其應用商店上架的APP,設置安全性的權重,將安全性高低與APP信譽相關聯,既維護了用戶對APP安全的知情權,更提升應用商店自身的品牌形象。

         (3)即時監測及時修復

         (4)防范0-day漏洞,使APP更安全

         信息安全意義上的0-day漏洞是指軟件廠商在知曉并發布相關補丁前就被掌握或者公開的漏洞信息。高危險級別的0-day漏洞如果被互聯網不法分子利用,會對軟件產品產生巨大的威脅,極大的影響用戶體驗甚至損害品牌價值。如2015年爆發的Hacking Team事件,該公司就是主要通過0-day漏洞進行不當盈利,此次事件中泄露的漏洞數據對全球眾多公司造成了嚴重影響。

         而與此相對的是,絕大部分的APP開發者并不具備0-day漏洞挖掘能力,同時因為漏洞挖掘耗時久,從商業效益上說,企業自行挖掘0-day漏洞的性價比不高,建議APP開發者與0-day漏洞研究團隊合作,借助專業的力量,打造更加安全的APP產品。APP安全,從防護漏洞開始

         2015 年,云計算、物聯網、大數據技術和相關產業迅速崛起,互聯網移動端的發展將占據越來越重要的位置, 作為載體之一的APP的安全更是互聯網安全至關重要的一環。

         國家對APP安全的規范工作正在不斷建設與完善。2014年4月至9月工業和信息化部聯合公安部、工商總局在全國范圍開展打擊移動互聯網惡意程序專項行動,將互聯網惡意程序設為重點打擊治理項目之一,督促應用商店落實安全責任。國家網信辦主任魯煒也曾公開表示,網信辦將出臺APP應用程序發展管理辦法。當前APP市場亂象的生存空間將不斷縮小,APP開發者應提前部署應對措施。