前言
2017年是值得载入史册的一年,是Android系统公布和首代iPhone问世后的首个10年。十年间,手机应用百花齐放,用户使用习惯基本形成,移动互联网快速成长并强力助推了全球的经济发展。这是从激烈变革到稳定的一年。
伴随着移动互联网飞速发展的,还有日渐复杂的移动安全形势。当民众还聚焦于移动互联网带来的经济发展和产业变革时,黑客与地下黑产链涌动的暗流已异常汹涌。但大部分手机用户对此毫无感知。
因攻击工具获取难度和攻击门槛的大幅降低,各类网络攻击带来的危害急剧上升。移动安全威胁已不容忽视,移动互联网已成为国家信息安全领域的重点关注对象。
借国家在2017年正式落地《中华人民共和国网络安全法》与推进等保2.0的契机,蓝盾在2018年开年之初对过去一年的移动应用形势进行系统的分析总结,希望以绵薄之力推进我国移动互联网信息安全的建设与发展。
一、移动互联网安全现状
1、移动互联网用户群体已趋稳定
据工信部《2017年11月份通信业经济运行情况》显示,截止到2017年11月底,我国移动互联网用户总数达12.5亿,其中手机上网用户达到11.6亿。用户数量虽仍在增加,但增速已然放缓,依靠设备暴增带来的红利已经消失。
另一方面,手机上网对移动电话用户的渗透也开始稳定,老用户智能手机的升级量达到饱和状态,移动互联网的用户群体已基本稳定。
2、移动APP市场成熟 威胁与发展共生
在移动互联网快速成长期间,移动APP也得到较大发展。据工信部《2017年11月互联网和相关服务业报告》显示,截止11月底,我国本土第三方应用商店移动应用数量超过224万款;苹果商店中国区移动应用数量超过178万款;第三方应用商店分发数量超过8700亿次。
从用户使用方面看,应用安装量也归于稳定。截至到2017年9月,我国平均手机安装应用数超110款,增长率亦趋平稳。在此期间,用户对移动APP的依赖在不断深化。
随着移动网民的不断增加,移动化生活成为主流并逐步渗透到大众的消费、出行、娱乐等方方面面,移动APP得到全面发展。但与此同时,在功能上得到最大化开发的移动应用,因防护空白开始面临接踵而来的安全问题。安全威胁已成为制约APP发展的主要因素。
二、移动APP安全挑战
1、病毒攻击频繁
在国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”中,“勒索病毒”作为与“安全”相关的唯一关键词上榜。
自5月份“永恒之蓝”在全球引发安全恐慌开始,勒索病毒在2017全面入侵,移动互联网也无法幸免,并逐渐演变为主战场。据国家互联网应急中心报告,仅2017年10月30日到11月5日几天之间就发现15个安卓锁屏勒索类的恶意程序变种。
移动端勒索病毒以恶意锁屏、绑架文件资料勒索用户付费解锁,对移动用户的正常手机使用造成较大冲击,影响十分恶劣。
2、安全漏洞屡现
相比病毒入侵、黑客攻击的高频率、多形式,移动端APP则是“漏洞百出”。
目前移动APP普遍存在有安全漏洞,其中不乏中高危漏洞。据蓝盾最新统计,仅有1%的APP不存在高危漏洞;3.6%的移动APP不存在中危漏洞。反之,存在有5到8个的中危漏洞的移动APP已超过一半(67.4%),37%的移动APP有10个左右(9-12)的高危漏洞,安全现状十分严峻。
3、移动开发者的安全防护意识仍处于萌芽阶段
“加固”是移动APP的一道重要屏障。应用加固可在一定程度上保护开发者的核心代码算法,提高破解、盗版、二次打包的难度,有效缓解代码注入、动态调试、内存注入等攻击。
但根据蓝盾对国内某重要应用市场下载量前2万款应用的检测,发现仅有31.85%的应用采取了基本的应用安全加固措施,应用的安全防护并未引起开发者的足够重视。
值得一提的是,蓝盾在对收集到的恶意软件样本的分析中发现,部分恶意软件使用了应用加固技术。相较于开发者对安全加固的普遍无视,部分病毒开发者却使用了安全加固技术,这种变化值得业界重视。
4、APP安全受限手机系统安全
手机的系统版本与安全补丁的更新情况决定了手机的移动安全防护水平的底线。手机系统与安全补丁的更新在一定程度上体现了手机厂商对安全的态度。
蓝盾通过对国内部分手机品牌系统更新的历史数据进行分析后发现,目前大部分手机在发布时使用的系统并非最新安卓系统,且大部分手机的系统更新持续时间是在自发布之日起的2年内。这意味着用户使用一台手机超过2年就有较大可能无法获得升级,已知的系统隐患也未能得到修复,安全威胁倍增。
该问题目前已引起行业重视。据蓝盾统计,自2015年起,越来越多的手机在发布时就采用了最新的安卓系统,并内置有相关的安全功能,手机出厂安全防护前景值得期待。
新设备新系统的安全系数开始上升固然令人欣喜,但仍须注意的是,旧机的安全威胁仍然存在。据友盟、百度等第三方统计平台的数据显示,目前移动互联网上活跃的设备中,系统版本低于6.0的仍高达53.72%,整体安全情况并不乐观。
三、APP安全变化及趋势
1、APP窃取用户隐私成为常态
用户数据在黑客眼中是“香饽饽”,对于移动厂而言亦是如此,许多移动APP存在主动收集用户数据的行为。2017年7月下旬,中央网信办等四部委对国内1500多个网站和APP的隐私政策进行测评。检测报告中没有一个APP达到“高”评级,而透明度在“较低”和“低”的平台和APP却超过总数的80%。
其中大量应用存在越界获取隐私权限的问题。越界获取隐私权限是指手机应用获取与自身功能无关的用户隐私权限的行为,给用户带来极大的安全隐患。如部分APP越界访问手机短信、记事本等应用,可查看用户的银行卡账号密码等重要信息,危及用户财产安全;而用户被窃取的个人身份信息、照片等隐私,则极易被隐私售卖等网络信息黑产所利用,加剧网络诈骗。
APP厂商监守自盗的行为,在伤害用户隐私权的同时,也给黑客留下了攻击的“后门”,后患无穷。
2、恶意应用攻陷全球最大应用商店
移动应用从开发者到用户手机,应用市场无疑是最好的渠道。目前国内外大多数应用市场会对应用进行安全检测,一定程度上保证了应用安全。但在2017年,全球最大应用商店Google Play多次出现恶意应用绕过安全审查成功上架的情况,引发业界担忧。
据谷歌统计,仅携带Xavier木马病毒的应用数量已经超过800款,其中部分应用在Google Play上的下载量已经超过数百万次。对普通用户而言,单纯依赖应用市场自身的安全机制解决移动应用安全问题的方式已不再可靠。
蓝盾通过对国内某重要移动应用市场的排查发现,即便有相应的应用审核机制,应用市场的APP仍存在大量漏洞,其中不乏危及用户财产及隐私安全的高危漏洞:
目前国内许多第三方库的开发者安全意识不足,第三方库本身存在各种各样的安全隐患,进而导致用户下载使用库内APP后,安全漏洞即便被发现也无法修复,造成的影响更大。
3、黑客攻击越发重视经济收益
据美国安全公司 Carbon Black发布的最新勒索软件调查报告显示,与2016年相比,2017年暗网经济中勒索软件的市场规模猛增2502%,且已逐步往移动设备渗透。
通过这种变化我们不难看出,黑客攻击目的已经从技术窃取转为金钱勒索,对攻击行为短期变现要求较高。由于攻击门槛低、风险低、回报高,移动APP吸引了越来越多的黑客的注意。
相较安全防护已普及多年的PC端,移动安全防护是一个崭新的命题,开发者与用户的移动安全意识普遍处于萌芽阶段。因此,针对移动应用的网络攻击带来的危害往往更为隐蔽而巨大。
4、攻击方式多变,新型攻击丛生
2017年的网络攻击,除了勒索病毒的出现,黑客的攻击手段也推陈出新。
①新目标:小程序成最新攻击对象
2017年初发布的小程序在年末开始发力,头脑王者、跳一跳等多个小程序相继走红,获得大量微信用户的热捧。但同时,小程序的走红也为黑客们提供了新的攻击平台,各类小程序外挂泛滥。
小程序开发门槛较低,安全防护又未能及时跟上,面对攻击时小程序往往不堪一击。目前微信小程序安全防护的重要性和迫切性未引起开发者的关注,另一方面,基于微信的小程序备受信赖,用户防护意识严重不足,危险系数急剧上升。
②新形式:恶意APP利用手机挖矿
2017年,以比特币为首的电子货币余热未退,仍有大量民众趋之若鹜。获取比特币需通过设备运行特定算法,为挖到更多的“矿”,部分不法分子打起了移动设备的主意,通过CoinKrypt、Loapi等木马入侵用户手机,组建僵尸网络挖矿。
此类攻击绑架用户手机,极易导致隐私泄露。而挖矿(执行算法)过程中电量消耗严重,缩短了电池使用寿命,甚至有可能导致电池鼓胀,发生爆炸。
③新方式:Xcode Ghost在源头植入病毒
Xcode Ghost病毒利用开发者不规范的行为,直接在开发软件内植入病毒,实现了在源头感染应用。
Xcode Ghost带来的影响除了我们表面所看到的iOS部分应用被挂马与Unity3D被投毒,更重要的是黑客已经开始尝试将攻击矛头瞄准开发者。在开发者安全意识普遍较弱的情况下,这一新式攻击手法带来的危害极大。
四、移动安全机遇与挑战并存
目前,移动互联网已得到彻底普及。面对移动设备、移动APP存在的众多安全隐患,国家政府与企业已经开始意识到问题的严重性,各方面的应对之策相应出台。
1、《网络安全法》保护个人隐私,等保2.0首提移动互联等级保护要求
2017年6月,《中华人民共和国网络安全法》(下称《网络安全法》)正式实施,移动互联网安全保护有法可依。
一方面,《网络安全法》对用户个人信息保护做出了明确规定。如非法获取出售公民个人隐私信息超50条将入罪,企业应确保个人信息安全,若发生信息泄露、毁损、丢失的情况时应及时补救并告知用户、报告有关主管部门等。
《网络安全法》定义了我国用户隐私权益边界,在法律层面确定了运营方保护用户信息的责任,对限制运营方的用户信息收集行为、打击信息买卖等非法行为都具有重要意义。
另一方面,借国家立法契机,等保2.0中正式提出了移动APP等级保护的要求。
等级保护是指国家依据信息及信息载体重要性进行的分级保护。2017年确立的等保2.0首度明确移动APP的安全要求,涉及“移动应用管控”、“移动应用软件采购”、“移动应用软件开发”等多个方面。此举表明移动APP的安全保护已得到国家层面的重视和支持。
2、企业重视安全 加大防护投入
2017年全球企业全面加大网络安全方面的投入。根据Gartner最新报告显示,在2017年,全球网络安全的支出额为890亿美元;到2018年,这个数字预计将达到960亿美元。
根据普华永道《2018全球信息安全状况调查》显示,2017年中国内地与香港企业在网络安全方面的平均投入比全球数值高出近四分之一(23.5%),受访企业的平均预算达630万美元。
其中,46%的中国内地与香港受访企业将移动设备列为信息安全事件的攻击目标,予以重视。
3、移动安全进入AI时代 AI攻防战拉开序幕
2017年是人工智能的元年,很多领域都开始采用了人工智能技术。而移动安全防护技术也从传统的动静态防护识别,向基于大数据、深度机器学习、人工智能等方向转变,大数据、AI机器学习、态势感知等前沿技术开始正式应用于移动安全防护领域。
AI时代的移动安全防护已不再是仅限于APP的点式防护,而是扩展到通过AI与大数据作为后勤保障,以移动应用和移动设备作为能力支点,以用户为核心,云、端结合的立体防护体系。
4、用户隐私意识开始觉醒
用户隐私安全开始引起广泛关注,媒体、民众对个人隐私的重视程度明显加强。在2017年爆发的多起用户隐私被泄露及售卖的事件中,民众从开始的关注逐步演变成担忧:2017年初,央视曝光个人信息遭泄露及网上贩卖的新闻,掀起了广大市民对个人隐私安全的担忧;4月,外媒曝光上亿优酷用户信息数据在暗网被售卖,无孔不入的个人信息泄露及售卖引起用户关注;6月,顺丰与菜鸟针对用户物流数据展开争夺,企业数据争夺加剧用户对个人隐私的担忧。
在接踵而来的隐私泄露事件中,用户对个人隐私安全的担忧持续攀升。部分用户开始尝试主动了解并反击:2017年12月,一篇标题为《一位92年女生致周鸿祎:别再盯着我们看了》的文章在网上热传,360旗下水滴直播平台被指侵犯公众隐私,水滴直播平台之后宣布永久关闭;2018年伊始,网友曝光支付宝年度账单授权“被同意”,支付宝随后紧急致歉,蚂蚁金服也因此被网信办约谈;春节抢票期间,用户质疑12306手机客户端越界获取隐私权限,引发业界关注。
以上事件皆为用户曝光,我们欣喜地看到越来越多的质疑之声是从用户口中发出。用户隐私意识开始觉醒,对移动互联网环境中个人隐私安全有了更多考虑。
对于企业而言,如何满足民众对隐私安全日益提高的要求,调整规范自身产品及服务行为,将是2018年不得不思考的一个问题。
完整版PDF链接:http://www.bluedon.com/uploadfiles/file/20180130/20180130190924_7160.pdf
