手机 APP 病毒情况分析
(一)每 100 个应用中至少有 5 个应用存在病毒
通过安全平台对 APP 进行病毒扫描,截止目前,已完成病毒扫描的 APP 中有 14.19 万款 APP 存在病毒,病毒率高达 5.24%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。
(二)93% 以上的病毒存在流氓行为
从病毒分类来看,93.96% 的病毒存在流氓行为,这类病毒会造成「广告推送」、「隐私信息监控」、「流量或资金消耗」等危害;1.79% 的病毒存在隐私窃取,这类病毒会造成短信、GPS 定位、联系人信息等敏感信息被窃取;1.09% 的病毒存在恶意扣费,这类病毒会使用户话费激增,造成经济损失。
图 8 病毒类型统计表
(三)病毒 APP 主要分布区域
从病毒 APP 分布区域来看,广东省占病毒 APP 总量 27.33%,其次是浙江省,占病毒 APP 总量 10.49%,最后是北京市,占病毒 APP 总量 10.23%。
图 9 病毒区域分布图
(四)七成以上的应用商店都存在病毒 APP
本次扫描监测的应用商店,其中多达 185 家都存在涉及病毒的 APP,这其中包括有大量用户及下载量的主流应用商店。此外需要引起关注的是,一些小的应用商店,APP 总量不多但存在病毒的 APP 占比较高。
移动应用高危风险分析
(一)不可忽视的隐私条款
随着 APP 应用的发展,越来越多的 APP 打着服务用户的旗号获取大量的用户隐私信息,部分 APP 在使用用户隐私权限时根本不提供隐私条款,部分 APP 即使有隐私条款,也是和实际采集的用户信息不匹配的。大量 APP 存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量 APP 在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。用户隐私信息正面临安全的挑战。
案例:这是某金融服务 APP 提供给用户的隐私条款部分截图,你可能很难认真去阅读这些条款,一般都会直接选择同意,但是你可能不知道,你点击同意后,就表示你已经阅读并接受这个条款里的所有内容,比如有一条关于你信息共享问题的条款:「我们会与我们的供应商、服务提供商、顾问或代理人共享您的个人信息,以提供更好的用户体验」。意思就是你点击同意这个条款,那么你的个人信息就可能会被第三方获取。
不知道你是否留意,图里还有这样一句:「除非得到您的允许,否则我们不会将你的个人信息提供给广告合作、分析服务合作伙伴」,这下你应该明白为什么前两天你刚跟朋友提起你想买个智能音箱,第二天就能收到关于智能音箱的各种广告推送。
(二)个人隐私风险
随着移动应用的迅猛发展,人们对于移动应用涉及个人信息的隐私性日益关注。移动应用涵盖用户大量个人隐私性数据,一旦发生泄漏可能对个人、社会造成重大影响,同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用应该有效的保障用户的账号密码和个人信息数据安全,保护用户的个人隐私。如何保障移动应用的数据安全和数据隐私,成为了国内外移动应用安全技术亟待解决的问题。
案例 1:在今年 3.15 几天爆出,某知名 SDK 供应商利用向各大应用公司提供 SDK 服务的便利,大量获取用户信息。窃取数据的程序名为「SWAnalytics」,存在于应用的 SDK 模块当中。当用户安装并打开受感染的应用,或者重启了设备,SWAnalytics 便会自动读取用户的通讯录,并上传至远程的服务器。据相关数据统计,此次信息盗取事件中受感染的应用程序下载量至少有 1.11 亿次,可见涉及面之广。
案例 2:某电商 APP 正通过后台程序收集用户的地址、电话等个人信息。
图 11 电商收集用户信息截图
案例 3:某游戏应用正在通过后台程序获取用户的手机信息。
图 12 请求品牌、手机型号、IMEI、系统版本等信息
图 13 获取 IMEI 号代码
图 14 获取手机 MAC 地址
图 15 获取手机型号与品牌
图 16 获取系統版本地址
总结
一、移动应用安全问题决定着移动应用产业的未来
在移动互联网火热发展的时代,移动 APP 无处不在,购物、音乐、学习、理财、社交、娱乐等等。据调查报告显示,目前移动 APP 安全市场缺口大,主要体现在移动安全需求大、研究人员极少以及针对性公司少。为保证移动应用的安全,开发者需要对 APP 进行一系列安全检测、安全加固以及渠道监测等工作,从而保障用户信息安全,促进互联网的健康发展。
移动 APP 平台以 Android、iOS 为主流,而 Android 因其开放性,安全问题相当严峻。本次检测共计搜集270 多万条 app 的数据,扫描出约 6358 万多条漏洞数据,涉及75 种漏洞,有183 多万款 APP 或多或少都存在安全漏洞。这些数据反映出 android app 漏洞问题的严峻性,在 APP 市场上,很多 android app 都存在潜在的安全风险,一旦被利用,会给用户和开发者带来很大影响。
二、用户隐私泄露情况需留意预防提防
移动 APP 为人们的生活带来了便捷的通讯、购物、交通……人们在享受这些便捷的同时,位置信息、通话记录、照片、摄像头等个人信息可能也会默默的暴露到了网络上。目前,用户个人信息收集和使用上存在很多乱象。那么怎么才能减少或避免个人隐私信息泄露呢?手机应用专家建议如下:
1.下载安装时认真阅读权限提示,谨慎开启权限,经常检查手机应用的权限信息,关闭用不到的或是不常用的软件权限,特别是摄像头、语音权限,不用的时候最安全做法是关闭该权限,使用时再打开。
2. 尽量不要下载来路不明的软件。每款软件下载后要及时查看权限,不需要的及时关闭。
3.不要购买山寨、组装手机。品牌手机系统安全性相对可靠,通常不会出现强制使用状况,比如使用摄像头权限,在用户关闭的情况下强制打开,这种事一般不会发生,除非手机系统安全性过低,所以山寨手机要不得。
4. 摄像头自动打开,这种情况多数是用户自己打开了使用摄像头权限,使用后不及时关闭,某些流氓软件利用用户这个不良习惯来窃取用户隐私。即便是品牌手机,不排除个别软件出现强制打开权限状况发生,用户遇到这类问题要及时卸载软件 ,并通过正常渠道及时反馈给手机供应商处理。
5. 一定要通过正规应用市场下载 APP,或者官网等渠道,避免通过网页弹窗、不明链接下载软件,以免手机感染病毒。
三、政府越来越关注信息安全
数据显示,我国移动互联网网民数量突破 11.3 亿,金融服务、交通出行、支付业务等逐渐向移动互联网平台迁移。移动应用安全问题越来越突出。从习近平提出「网络强国」到今年的十三届全国人大二次会议,国家领导人在会议报告中三提「信息」,涉及到信息技术发展、信息基础设施建设和个人信息保护,表明政府越来越重视信息安全,这也是移动手机用户最为关注的问题。
2017 年 6 月 1 日正式施行《中华人民共和国网络安全法》,其中第 41 条至 43 条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息,应当遵循相关的法律法规,并经被收集者同意,不得向他人提供个人信息。此外,网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息;网络运营者应当采取安全措施,确保其收集的个人信息安全。
然而实际操作中,由于取证难、执法难。存在大量 APP 开发企业无视法律法规,在用户使用时根本不提供隐私条款,部分 APP 即使有隐私条款,也是和实际采集的用户信息不匹配现象。大量 APP 存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量 APP 在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。
此外需引起关注的是,3.13 爆出的 SDK「顺手牵羊」窃取用户隐私信息的事件虽已告一段落,但还有较多的 SDK 仍在隐蔽的做着窃取用户信息的行为。因此作为 APP 开发企业,除了提高安全意识、规范自身行为以外,还应对自己提供的 APP 负责,避免因 SDK 的恶意行为而受到牵连。提高移动应用开发企业的法律意识,主动担负起保护用户个人隐私信息的责任。
(转自FreeBuf.COM)
徐州生物工程职业技术学院 图文信息中心