2019年国家针对App进行了愈趋严格的治理,大量App因为权限获取等问题被通报,甚至下架。而随着App治理相关法规文件的同步出台,国内App的安全建设也获得了可以参考的标准依据。2019年各类法律法规、治理工作以及相关安全事件的发生,使得移动应用的安全态势发生了新的变化,梆梆安全特从移动应用安全性、移动应用权限问题、移动应用SDK使用情况对2019年我国移动应用安全状况进行了分析,并对2020年移动应用安全趋势给出了预测研判。
一、2019年我国移动应用安全状况
1、移动应用安全性
在2019年一整年的治理监管工作下,我国移动应用的安全状况发生了显著变化。
图1:2019年移动应用五大典型安全问题
移动应用的数据安全在2019年得到了一定改善,存在数据安全隐患的移动应用比例降至了49%。2019年存在自身安全隐患的移动应用比例为27%,存在业务安全隐患的移动应用比例为53%,相校于历史数据的57%移动应用的业务安全有所增强。
国家针对移动应用的治理工作,使得曾经极为普遍的移动应用权限获取乱象得以遏制,各类异常或危险操作行为也大为减少。正是因此,移动应用的自身安全性得以提升,由于危险操作所导致的数据泄漏安全隐患也大大降低。
但需要注意的是,移动应用的数据安全问题包括移动应用内部的数据交换安全问题、移动应用本地的数据存储安全问题以及移动应用通信传输过程中的数据安全问题。统计发现,绝大部分移动应用在解决这三个方面的数据安全问题时并不均衡,甚至许多移动应用在其中1-2两个方面存在严重的“瘸腿”。所以,虽然移动应用的数据安全隐患在大幅下降,但依然有将近一半的移动应用数据安全问题严重。
还需要注意的是,移动应用自身安全隐患的比例虽然正在下降,但移动应用源代码的安全性却并不乐观,源代码层面的安全隐患意味着移动应用根基的不牢固,更意味着移动应用随时都可能遭受针对源代码层面的恶意攻击。
同时,在2019年移动应用的身份认证安全问题却在变得更为严重,71%的移动应用都存在身份认证安全问题。在恶意攻击防护方面移动应用的表现也尚欠佳,49%的移动应用对恶意攻击防护能力明显不足。身份认证是移动应用被使用过程中的第一道安全关口,身份认证安全隐患的加剧,恶意攻击防护能力的进一步下降,以及源代码安全性的薄弱,都在让移动应用更容易遭受来自外界的攻击。
图2:移动应用权限使用情况统计
2、移动应用的权限获取问题
中央网信办、工业和信息化部、公安部、市场监管总局四部门针对移动应用的治理行动,使得移动应用的权限获取得到了显著规范,过度索权、强制获取权限的现象明显减少。移动应用对用户手机权限的获取更加的趋于合理化,并回归其真正的业务功能需求。
图3:移动应用获取最多的十大权限
结合图2和图3上的数据能够发现,2019年移动应用的功能在变得更为丰富,但其对权限的获取也更为理性。2019年移动应用所获取最多的十大权限基本都是移动应用运行所必须的手机权限。而类似“直接拨打电话号码”、“读取联系人数据”、“读取短信或彩信”、“读通话记录”、“发送短信”等敏感权限则被获取较少。
图4:移动应用权限申请数量情况
另外一方面,移动应用所申请的用户手机权限数量依然较多,申请用户手机权限数量不超过10个的移动应用仅为4%,66%的移动应用申请用户手机权限数量范围处于20-50个之间,还有8%的移动应用申请用户手机权限数量超过50个,个别移动应用甚至申请了超过80个以上的用户手机权限。
图5:超范围收集用户信息权限
图6:用于超范围收集用户信息获取最多的十大权限
结合图5和图6上的数据能够发现,虽然还是有移动应用会过度获取权限以超范围搜集用户信息,但这一情况显著降低。而移动应用超范围收集用户信息获取最多的十大权限分别是:访问精确位置、访问大概位置、录音、检索当前运行的应用程序、读取联系人数据、修改全局系统设置、读取系统日志文件、装载和卸载文件系统、读取手机状态和身份、更改网络连接性。这意味着,用户的日常生活轨迹、工作生活信息依然在面临着严峻威胁。特别是在军队等保密性要求很高部门工作的人员,其日常使用的移动应用如果存在上述的过度权限获取,那么其工作位置、工作内容都存在被泄漏的危险。
3、第三方SDK安全问题
近两年,移动应用在通过使用大量第三方SDK来提升其附加使用价值,实现不同领域业务的连通融合。
图7:移动应用使用SDK情况统计
图8:移动应用使用最多的十大SDK
从图7和图8中能够看到,移动应用调用的第三方SDK种类繁多。其中社交类SDK、地图类SDK使用频率最高,其次电商类SDK、支付类SDK、运维类SDK也在被移动应用所大量使用。从安全角度而言,第三方SDK调用越多,移动应用所暴露出的可攻击面也就越多,且移动应用的安全可控性也将被极大降低。
图9: 2019年移动应用调用第三方SDK数量情况统计
统计发现,不调用第三方SDK的移动应用极少,59%的移动应用会调用2-10个第三方SDK,29%的移动应用会调用11-20个第三方SDK,还有将近10%的移动应用调用的第三方SDK数量超过了20个。这意味着,将近六成的移动应用会面临来自产业链内的第三方攻击风险,还有38%的移动应用其所面临的产业链安全风险将会倍增。
二、2020年移动应用安全趋势预测
纵观2019年移动应用安全状况,2020年移动应用将面临更多层面的安全威胁。而随着各类网络安全、信息安全相关法律法规的发布落地,移动应用的安全性也将得以提升。在梆梆安全看来,2020年移动应用安全存在如下趋势:
1.国家针对移动应用的治理工作会更加趋严,移动应用提供者/运营者可能会面临需要遵从不同监管部门治理规定标准的情况;
2.等保2.0将对部分行业领域的移动应用安全性产生积极影响;
3.来自开发工具、开发环境、运营环境等移动应用供应链的安全问题将更加严重,产业链里针对移动应用的恶意攻击威胁将会横向扩散;
4.恶意SDK、第三方SDK会扩大移动应用的被攻击面,撕开更大的针对移动应用内部发起攻击的缺口;
5.警惕移动应用成为勒索攻击跳板,提前预防移动应用成为核心目标的勒索攻击;
6.有组织的恶意攻击将对正规移动应用构成更大威胁;
7.正规移动应用所造成的数据泄漏将间接导致特殊行业机密信息的意外暴露;
8.移动应用使用者的个人信息安全问题还将长期存在,并会随着新的安全挑战而呈现出新的特征;
9.移动应用源代码安全隐患将成为一颗埋藏很深的雷;
10.移动应用自身的安全不均衡性问题还将在一定时期内存在。
来源:freebuf.com 2020-01-23 11:37:48 by: 梆梆安全
请登录后发表评论
注册