前言

　　2017年是值得載入史冊的一年，是Android系統(tǒng)公布和首代iPhone問世后的首個10年。十年間，手機應(yīng)用百花齊放，用戶使用習慣基本形成，移動互聯(lián)網(wǎng)快速成長并強力助推了全球的經(jīng)濟發(fā)展。這是從激烈變革到穩(wěn)定的一年。

　　伴隨著移動互聯(lián)網(wǎng)飛速發(fā)展的，還有日漸復雜的移動安全形勢。當民眾還聚焦于移動互聯(lián)網(wǎng)帶來的經(jīng)濟發(fā)展和產(chǎn)業(yè)變革時，黑客與地下黑產(chǎn)鏈涌動的暗流已異常洶涌。但大部分手機用戶對此毫無感知。

　　因攻擊工具獲取難度和攻擊門檻的大幅降低，各類網(wǎng)絡(luò)攻擊帶來的危害急劇上升。移動安全威脅已不容忽視，移動互聯(lián)網(wǎng)已成為國家信息安全領(lǐng)域的重點關(guān)注對象。

　　借國家在2017年正式落地《中華人民共和國網(wǎng)絡(luò)安全法》與推進等保2.0的契機，藍盾在2018年開年之初對過去一年的移動應(yīng)用形勢進行系統(tǒng)的分析總結(jié)，希望以綿薄之力推進我國移動互聯(lián)網(wǎng)信息安全的建設(shè)與發(fā)展。

　　一、移動互聯(lián)網(wǎng)安全現(xiàn)狀

　　1、移動互聯(lián)網(wǎng)用戶群體已趨穩(wěn)定

　　據(jù)工信部《2017年11月份通信業(yè)經(jīng)濟運行情況》顯示，截止到2017年11月底，我國移動互聯(lián)網(wǎng)用戶總數(shù)達12.5億，其中手機上網(wǎng)用戶達到11.6億。用戶數(shù)量雖仍在增加，但增速已然放緩，依靠設(shè)備暴增帶來的紅利已經(jīng)消失。

　　另一方面，手機上網(wǎng)對移動電話用戶的滲透也開始穩(wěn)定，老用戶智能手機的升級量達到飽和狀態(tài)，移動互聯(lián)網(wǎng)的用戶群體已基本穩(wěn)定。

　　2、移動APP市場成熟 威脅與發(fā)展共生

　　在移動互聯(lián)網(wǎng)快速成長期間，移動APP也得到較大發(fā)展。據(jù)工信部《2017年11月互聯(lián)網(wǎng)和相關(guān)服務(wù)業(yè)報告》顯示，截止11月底，我國本土第三方應(yīng)用商店移動應(yīng)用數(shù)量超過224萬款;蘋果商店中國區(qū)移動應(yīng)用數(shù)量超過178萬款;第三方應(yīng)用商店分發(fā)數(shù)量超過8700億次。

　　從用戶使用方面看，應(yīng)用安裝量也歸于穩(wěn)定。截至到2017年9月，我國平均手機安裝應(yīng)用數(shù)超110款，增長率亦趨平穩(wěn)。在此期間，用戶對移動APP的依賴在不斷深化。

　　隨著移動網(wǎng)民的不斷增加，移動化生活成為主流并逐步滲透到大眾的消費、出行、娛樂等方方面面，移動APP得到全面發(fā)展。但與此同時，在功能上得到最大化開發(fā)的移動應(yīng)用，因防護空白開始面臨接踵而來的安全問題。安全威脅已成為制約APP發(fā)展的主要因素。

　　二、移動APP安全挑戰(zhàn)

　　1、病毒攻擊頻繁

　　在國家語言資源監(jiān)測與研究中心發(fā)布的“2017年度中國媒體十大新詞語”中，“勒索病毒”作為與“安全”相關(guān)的唯一關(guān)鍵詞上榜。

　　自5月份“永恒之藍”在全球引發(fā)安全恐慌開始，勒索病毒在2017全面入侵，移動互聯(lián)網(wǎng)也無法幸免，并逐漸演變?yōu)橹鲬?zhàn)場。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心報告，僅2017年10月30日到11月5日幾天之間就發(fā)現(xiàn)15個安卓鎖屏勒索類的惡意程序變種。

　　移動端勒索病毒以惡意鎖屏、綁架文件資料勒索用戶付費解鎖，對移動用戶的正常手機使用造成較大沖擊，影響十分惡劣。

　　2、安全漏洞屢現(xiàn)

　　相比病毒入侵、黑客攻擊的高頻率、多形式，移動端APP則是“漏洞百出”。

　　目前移動APP普遍存在有安全漏洞，其中不乏中高危漏洞。據(jù)藍盾最新統(tǒng)計，僅有1%的APP不存在高危漏洞;3.6%的移動APP不存在中危漏洞。反之，存在有5到8個的中危漏洞的移動APP已超過一半(67.4%)，37%的移動APP有10個左右(9-12)的高危漏洞，安全現(xiàn)狀十分嚴峻。

　　3、移動開發(fā)者的安全防護意識仍處于萌芽階段

　　“加固”是移動APP的一道重要屏障。應(yīng)用加固可在一定程度上保護開發(fā)者的核心代碼算法，提高破解、盜版、二次打包的難度，有效緩解代碼注入、動態(tài)調(diào)試、內(nèi)存注入等攻擊。

　　但根據(jù)藍盾對國內(nèi)某重要應(yīng)用市場下載量前2萬款應(yīng)用的檢測，發(fā)現(xiàn)僅有31.85%的應(yīng)用采取了基本的應(yīng)用安全加固措施，應(yīng)用的安全防護并未引起開發(fā)者的足夠重視。

　　值得一提的是，藍盾在對收集到的惡意軟件樣本的分析中發(fā)現(xiàn)，部分惡意軟件使用了應(yīng)用加固技術(shù)。相較于開發(fā)者對安全加固的普遍無視，部分病毒開發(fā)者卻使用了安全加固技術(shù)，這種變化值得業(yè)界重視。

　　4、APP安全受限手機系統(tǒng)安全

　　手機的系統(tǒng)版本與安全補丁的更新情況決定了手機的移動安全防護水平的底線。手機系統(tǒng)與安全補丁的更新在一定程度上體現(xiàn)了手機廠商對安全的態(tài)度。

　　藍盾通過對國內(nèi)部分手機品牌系統(tǒng)更新的歷史數(shù)據(jù)進行分析后發(fā)現(xiàn)，目前大部分手機在發(fā)布時使用的系統(tǒng)并非最新安卓系統(tǒng)，且大部分手機的系統(tǒng)更新持續(xù)時間是在自發(fā)布之日起的2年內(nèi)。這意味著用戶使用一臺手機超過2年就有較大可能無法獲得升級，已知的系統(tǒng)隱患也未能得到修復，安全威脅倍增。

　　該問題目前已引起行業(yè)重視。據(jù)藍盾統(tǒng)計，自2015年起，越來越多的手機在發(fā)布時就采用了最新的安卓系統(tǒng)，并內(nèi)置有相關(guān)的安全功能，手機出廠安全防護前景值得期待。

　　新設(shè)備新系統(tǒng)的安全系數(shù)開始上升固然令人欣喜，但仍須注意的是，舊機的安全威脅仍然存在。據(jù)友盟、百度等第三方統(tǒng)計平臺的數(shù)據(jù)顯示，目前移動互聯(lián)網(wǎng)上活躍的設(shè)備中，系統(tǒng)版本低于6.0的仍高達53.72%，整體安全情況并不樂觀。

　　三、APP安全變化及趨勢

　　1、APP竊取用戶隱私成為常態(tài)

　　用戶數(shù)據(jù)在黑客眼中是“香餑餑”，對于移動廠而言亦是如此，許多移動APP存在主動收集用戶數(shù)據(jù)的行為。2017年7月下旬，中央網(wǎng)信辦等四部委對國內(nèi)1500多個網(wǎng)站和APP的隱私政策進行測評。檢測報告中沒有一個APP達到“高”評級，而透明度在“較低”和“低”的平臺和APP卻超過總數(shù)的80%。

　　其中大量應(yīng)用存在越界獲取隱私權(quán)限的問題。越界獲取隱私權(quán)限是指手機應(yīng)用獲取與自身功能無關(guān)的用戶隱私權(quán)限的行為，給用戶帶來極大的安全隱患。如部分APP越界訪問手機短信、記事本等應(yīng)用，可查看用戶的銀行卡賬號密碼等重要信息，危及用戶財產(chǎn)安全;而用戶被竊取的個人身份信息、照片等隱私，則極易被隱私售賣等網(wǎng)絡(luò)信息黑產(chǎn)所利用，加劇網(wǎng)絡(luò)詐騙。

　　APP廠商監(jiān)守自盜的行為，在傷害用戶隱私權(quán)的同時，也給黑客留下了攻擊的“后門”，后患無窮。

　　2、惡意應(yīng)用攻陷全球最大應(yīng)用商店

　　移動應(yīng)用從開發(fā)者到用戶手機，應(yīng)用市場無疑是最好的渠道。目前國內(nèi)外大多數(shù)應(yīng)用市場會對應(yīng)用進行安全檢測，一定程度上保證了應(yīng)用安全。但在2017年，全球最大應(yīng)用商店Google Play多次出現(xiàn)惡意應(yīng)用繞過安全審查成功上架的情況，引發(fā)業(yè)界擔憂。

　　據(jù)谷歌統(tǒng)計，僅攜帶Xavier木馬病毒的應(yīng)用數(shù)量已經(jīng)超過800款，其中部分應(yīng)用在Google Play上的下載量已經(jīng)超過數(shù)百萬次。對普通用戶而言，單純依賴應(yīng)用市場自身的安全機制解決移動應(yīng)用安全問題的方式已不再可靠。

　　藍盾通過對國內(nèi)某重要移動應(yīng)用市場的排查發(fā)現(xiàn)，即便有相應(yīng)的應(yīng)用審核機制，應(yīng)用市場的APP仍存在大量漏洞，其中不乏危及用戶財產(chǎn)及隱私安全的高危漏洞：

　　目前國內(nèi)許多第三方庫的開發(fā)者安全意識不足，第三方庫本身存在各種各樣的安全隱患，進而導致用戶下載使用庫內(nèi)APP后，安全漏洞即便被發(fā)現(xiàn)也無法修復，造成的影響更大。

　　3、黑客攻擊越發(fā)重視經(jīng)濟收益

　　據(jù)美國安全公司 Carbon Black發(fā)布的最新勒索軟件調(diào)查報告顯示，與2016年相比，2017年暗網(wǎng)經(jīng)濟中勒索軟件的市場規(guī)模猛增2502%，且已逐步往移動設(shè)備滲透。

　　通過這種變化我們不難看出，黑客攻擊目的已經(jīng)從技術(shù)竊取轉(zhuǎn)為金錢勒索，對攻擊行為短期變現(xiàn)要求較高。由于攻擊門檻低、風險低、回報高，移動APP吸引了越來越多的黑客的注意。

　　相較安全防護已普及多年的PC端，移動安全防護是一個嶄新的命題，開發(fā)者與用戶的移動安全意識普遍處于萌芽階段。因此，針對移動應(yīng)用的網(wǎng)絡(luò)攻擊帶來的危害往往更為隱蔽而巨大。

　　4、攻擊方式多變，新型攻擊叢生

　　2017年的網(wǎng)絡(luò)攻擊，除了勒索病毒的出現(xiàn)，黑客的攻擊手段也推陳出新。

　　①新目標：小程序成最新攻擊對象

　　2017年初發(fā)布的小程序在年末開始發(fā)力，頭腦王者、跳一跳等多個小程序相繼走紅，獲得大量微信用戶的熱捧。但同時，小程序的走紅也為黑客們提供了新的攻擊平臺，各類小程序外掛泛濫。

　　小程序開發(fā)門檻較低，安全防護又未能及時跟上，面對攻擊時小程序往往不堪一擊。目前微信小程序安全防護的重要性和迫切性未引起開發(fā)者的關(guān)注，另一方面，基于微信的小程序備受信賴，用戶防護意識嚴重不足，危險系數(shù)急劇上升。

　　②新形式：惡意APP利用手機挖礦

　　2017年，以比特幣為首的電子貨幣余熱未退，仍有大量民眾趨之若鶩。獲取比特幣需通過設(shè)備運行特定算法，為挖到更多的“礦”，部分不法分子打起了移動設(shè)備的主意，通過CoinKrypt、Loapi等木馬入侵用戶手機，組建僵尸網(wǎng)絡(luò)挖礦。

　　此類攻擊綁架用戶手機，極易導致隱私泄露。而挖礦(執(zhí)行算法)過程中電量消耗嚴重，縮短了電池使用壽命，甚至有可能導致電池鼓脹，發(fā)生爆炸。

　　③新方式：Xcode Ghost在源頭植入病毒

　　Xcode Ghost病毒利用開發(fā)者不規(guī)范的行為，直接在開發(fā)軟件內(nèi)植入病毒，實現(xiàn)了在源頭感染應(yīng)用。

　　Xcode Ghost帶來的影響除了我們表面所看到的iOS部分應(yīng)用被掛馬與Unity3D被投毒，更重要的是黑客已經(jīng)開始嘗試將攻擊矛頭瞄準開發(fā)者。在開發(fā)者安全意識普遍較弱的情況下，這一新式攻擊手法帶來的危害極大。

　　四、移動安全機遇與挑戰(zhàn)并存

　　目前，移動互聯(lián)網(wǎng)已得到徹底普及。面對移動設(shè)備、移動APP存在的眾多安全隱患，國家政府與企業(yè)已經(jīng)開始意識到問題的嚴重性，各方面的應(yīng)對之策相應(yīng)出臺。

　　1、《網(wǎng)絡(luò)安全法》保護個人隱私，等保2.0首提移動互聯(lián)等級保護要求

　　2017年6月，《中華人民共和國網(wǎng)絡(luò)安全法》(下稱《網(wǎng)絡(luò)安全法》)正式實施，移動互聯(lián)網(wǎng)安全保護有法可依。

　　一方面，《網(wǎng)絡(luò)安全法》對用戶個人信息保護做出了明確規(guī)定。如非法獲取出售公民個人隱私信息超50條將入罪，企業(yè)應(yīng)確保個人信息安全，若發(fā)生信息泄露、毀損、丟失的情況時應(yīng)及時補救并告知用戶、報告有關(guān)主管部門等。

　　《網(wǎng)絡(luò)安全法》定義了我國用戶隱私權(quán)益邊界，在法律層面確定了運營方保護用戶信息的責任，對限制運營方的用戶信息收集行為、打擊信息買賣等非法行為都具有重要意義。

　　另一方面，借國家立法契機，等保2.0中正式提出了移動APP等級保護的要求。

　　等級保護是指國家依據(jù)信息及信息載體重要性進行的分級保護。2017年確立的等保2.0首度明確移動APP的安全要求，涉及“移動應(yīng)用管控”、“移動應(yīng)用軟件采購”、“移動應(yīng)用軟件開發(fā)”等多個方面。此舉表明移動APP的安全保護已得到國家層面的重視和支持。

　　2、企業(yè)重視安全 加大防護投入

　　2017年全球企業(yè)全面加大網(wǎng)絡(luò)安全方面的投入。根據(jù)Gartner最新報告顯示，在2017年，全球網(wǎng)絡(luò)安全的支出額為890億美元;到2018年，這個數(shù)字預(yù)計將達到960億美元。

　　根據(jù)普華永道《2018全球信息安全狀況調(diào)查》顯示，2017年中國內(nèi)地與香港企業(yè)在網(wǎng)絡(luò)安全方面的平均投入比全球數(shù)值高出近四分之一(23.5%)，受訪企業(yè)的平均預(yù)算達630萬美元。

　　其中，46%的中國內(nèi)地與香港受訪企業(yè)將移動設(shè)備列為信息安全事件的攻擊目標，予以重視。

　　3、移動安全進入AI時代 AI攻防戰(zhàn)拉開序幕

　　2017年是人工智能的元年，很多領(lǐng)域都開始采用了人工智能技術(shù)。而移動安全防護技術(shù)也從傳統(tǒng)的動靜態(tài)防護識別，向基于大數(shù)據(jù)、深度機器學習、人工智能等方向轉(zhuǎn)變，大數(shù)據(jù)、AI機器學習、態(tài)勢感知等前沿技術(shù)開始正式應(yīng)用于移動安全防護領(lǐng)域。

　　AI時代的移動安全防護已不再是僅限于APP的點式防護，而是擴展到通過AI與大數(shù)據(jù)作為后勤保障，以移動應(yīng)用和移動設(shè)備作為能力支點，以用戶為核心，云、端結(jié)合的立體防護體系。

　　4、用戶隱私意識開始覺醒

　　用戶隱私安全開始引起廣泛關(guān)注，媒體、民眾對個人隱私的重視程度明顯加強。在2017年爆發(fā)的多起用戶隱私被泄露及售賣的事件中，民眾從開始的關(guān)注逐步演變成擔憂：2017年初，央視曝光個人信息遭泄露及網(wǎng)上販賣的新聞，掀起了廣大市民對個人隱私安全的擔憂;4月，外媒曝光上億優(yōu)酷用戶信息數(shù)據(jù)在暗網(wǎng)被售賣，無孔不入的個人信息泄露及售賣引起用戶關(guān)注;6月，順豐與菜鳥針對用戶物流數(shù)據(jù)展開爭奪，企業(yè)數(shù)據(jù)爭奪加劇用戶對個人隱私的擔憂。

　　在接踵而來的隱私泄露事件中，用戶對個人隱私安全的擔憂持續(xù)攀升。部分用戶開始嘗試主動了解并反擊：2017年12月，一篇標題為《一位92年女生致周鴻祎：別再盯著我們看了》的文章在網(wǎng)上熱傳，360旗下水滴直播平臺被指侵犯公眾隱私，水滴直播平臺之后宣布永久關(guān)閉;2018年伊始，網(wǎng)友曝光支付寶年度賬單授權(quán)“被同意”，支付寶隨后緊急致歉，螞蟻金服也因此被網(wǎng)信辦約談;春節(jié)搶票期間，用戶質(zhì)疑12306手機客戶端越界獲取隱私權(quán)限，引發(fā)業(yè)界關(guān)注。

　　以上事件皆為用戶曝光，我們欣喜地看到越來越多的質(zhì)疑之聲是從用戶口中發(fā)出。用戶隱私意識開始覺醒，對移動互聯(lián)網(wǎng)環(huán)境中個人隱私安全有了更多考慮。

　　對于企業(yè)而言，如何滿足民眾對隱私安全日益提高的要求，調(diào)整規(guī)范自身產(chǎn)品及服務(wù)行為，將是2018年不得不思考的一個問題。

　　完整版PDF鏈接：http://www.bluedon.com/uploadfiles/file/20180130/20180130190924_7160.pdf

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。