2017年度移动应用安全态势报告 – 作者:通付盾

一、  前言

截至2017年,移动互联网已走过十年历程,十年间网络边界日益模糊,网络安全日益受到重视。2017年网络安全已经上升为国家战略,以《网络安全法》正式实施为标志,移动互联网、关键信息基础设施保护、数据跨境流动、安全应急预案等相关法规出台,等级保护进入2.0,进入依法保障网络的时代。

2007年移动应用仍是大胆尝试,而近几年共享单车、外卖、网约车、网购、地图导航、手游、移动支付等应用遍地开花,人们的生活已经离不开这些应用。时至今日,移动应用数量明显趋于饱和,开始注重内容创新,2017也是APP开始尝试知识内容付费的“元年”。同时移动应用市场正在形成以微信、淘宝、支付宝等为代表的超级应用,新生应用同质化竞争明显,催生各类推广手段,甚至出现交叉启动的推广行为,严重干扰到用户的使用体验。移动终端用户数量众多,安全保护意识、防护技术手段仍有进步空间,不法分子利用移动应用相关的信息泄露、恶意代码、仿冒盗版、漏洞隐患等安全问题频频发生,移动应用遍布于政企工作流程,承载着核心业务与数据的背景下,移动应用安全风险波及金融、交通、政府等重要社会行业及部门,移动应用也延伸到物联网领域新情况,这也标志移动应用的安全正式进入网络安全重要部分。

二、  移动应用安全

截至2017年12月,我国移动应用数量规模超过570万,较2016年增长14.14%,新生应用增长放缓;形成对比的是,恶意、仿冒等危险应用增长明显:2017年恶意应用数量总计29,701个,同比增长28.66%;高危应用总计858,406个,同比增长5.58%;仿冒应用数量总计28,154个,同比增长21.94%。恶意、仿冒应用增长趋势远超移动应用总体增长速度。

2017年度移动应用安全态势报告

2016-2017年Android危险应用分布图

图1   2016-2017年Android危险应用分布图

恶意、仿冒及高危漏洞等危险应用规模不断扩大,部分移动应用被不法分子利用,传播暴力恐怖、淫秽色情等违法违规信息,安全问题突出的移动应用窃取用户信息、擅自使用付费业务、恶意推送广告等,直接损害用户的切身利益,威胁用户隐私信息安全。

(一)      恶意应用不断进化

2017年,Android恶意应用从23,000余款增长到29,701款,一年之内规模增长了28.66%,恶意应用不仅数量在增多,且攻击招数也在不断进化:“WannaCry”大行其道时,部分移动端勒索软件会使用加密平台进行加密保护,被媒体屡屡曝光的各类挖矿木马层出不穷,用户在玩游戏、喝咖啡的不经意间,手机变成挖矿机。

2016-2017年Android危险应用分布图

图2   2017年Android恶意应用增长趋势图

不断进化的恶意应用存在多种恶意行为,其中,流氓行为(占比30.46%)、资费消耗(占比28.84%)及信息窃取(占比22.65%)三类占比最高,三类恶意行为是移动应用中的“顽疾”。恶意应用滥用系统权限窃取用户的个人隐私信息;未经用户同意向用户推送广告插件,群发短信、订阅付费内容,损害用户权益。

2016-2017年Android危险应用分布图

图3  2017年Android恶意应用类型占比图

对恶意应用所属地域监控数据显示,经济发达地区是恶意应用威胁主要区域。2017年北京地区恶意应用排全国首位,占比高达28.11%;其次是广东省,占比24.59%,恶意应用不断向周边地区扩散,渗透到福建、湖南、湖北等地。在传播方式上,恶意应用开始从移动应用分发平台向论坛、网盘扩散,出现了利用夹带恶意代码的SDK传播的新方式。

2017年Android恶意应用地域分布

图4   2017年Android恶意应用地域分布

(二)      漏洞数量增长明显

移动应用不可避免存在安全漏洞问题,移动应用在设计、开发、运行等过程中有意或无意产生的漏洞,很容易被病毒、木马、黑客等利用,导致用户信息、账号密码泄露,造成金钱财产损失。

数据显示,2017年Android移动端高危应用总计858,406个;中危应用总计2,526,736个;低危应用总计25,133,329个。移动应用版本更新及新漏洞发现带来安全漏洞明显增加:2017年移动应用安全漏洞数量规模累计超过2.8亿,较2016年增长49.73%,相当于每一个移动应用含40个安全漏洞,移动应用脆弱性可见一斑。

2016-2017年移动应用漏洞数量增长趋势图

图5   2016-2017年移动应用漏洞数量增长趋势图

安全漏洞等级分布数据表明,企业在注重移动应用开发速度过程中,对移动应用开发规范及安全性的忽视。2017年移动应用高危漏洞占比达3.01%,较2016年的2.33%有明显上升。

2017年Android应用安全漏洞等级分布

图6   2017年Android应用安全漏洞等级分布

安全漏洞类型也在明显增多。2017年共监测到移动应用19种不同类型的高危漏洞,其中未移除有风险的WebView系统隐藏接口漏洞占比高达27.23%;WebView远程代码执行安全位列第二,占比17.72%,WebView组件忽略SSL证书验证错误漏洞位列第三,占比17.66%。

2017年Android移动应用高危漏洞类型分布

图7   2017年Android移动应用高危漏洞类型分布

2017年由于高危漏洞导致经济损失达到数千亿美元,安全漏洞已成为个人及企业最关心的核心问题。此外,移动应用第三方SDK安全漏洞成为安全漏洞新趋势之一。SDK安全漏洞一旦被利用,攻击者就能利用SDK本身的功能发动恶意攻击,例如在用户毫无察觉的情况下打开相机拍照,通过发送短信盗取双因子认证令牌,或将设备变成僵尸网络一部分。

(三)      仿冒威胁全面扩散

2017年,仿冒应用规模从2.3万+增长到2.8万+,增长21.74%,仿冒成风,不少仿冒软件内置恶意代码,并以隐私窃取、推送广告、恶意扣费等方式损害用户利益。

仿冒应用制作成本低廉,并形成地下产业链,使得仿冒未得到有效遏制,不断向各行业扩散,其中游戏娱乐行业成为仿冒重灾区,该行业仿冒应用数量占到所有行业的52.27%。

Android仿冒应用行业分布

图8  Android仿冒应用行业分布

不法分子通过仿冒官方应用图标、应用名甚至软件内容框架,以混淆用户视线骗取用户在各大渠道应用市场下载安装,数据显示,2017年,80%的移动应用市场及分发平台均发现仿冒应用踪迹,仿冒应用数量分布最多的前十大移动应用市场包括:安软市场(2,641个)、酷派应用商店(2,226个)、应用宝(2,103个)等。

2017年Android仿冒应用数量市场分布 TOP10

图9  2017 年 Android 仿冒应用数量市场分布 TOP10

三、行业应用安全

随着移动计算时代的到来,移动应用所带来的不仅仅是新兴的办公形势,也将各行业数据安全边界无限延伸,脱离了企业内部的管控环境。2017年恶意应用数量和类型的高速增长,使移动设备成为渗透企业网络的跳板;仿冒应用真假难辨,损害企业声誉;移动应用 质量参差不齐,安全漏洞事件频发,移动安全风险逐渐扩大,包括金融机构、交管部门、政府办公等在内的各行业各单位移动安全风险防护迫在眉睫。

(一)      金融行业遭遇仿冒威胁严重

监测数据显示,截至2017年12月,金融行业移动应用总计达346,629个(银行、证券及保险类应用总计32,647个,第三方支付类应用总计11,859个,理财工具类应用总计302,123个),其中恶意应用共计373个,仿冒应用共计717个,高危应用共计43,435个。金融行业面临恶意、高危应用威胁同时,仿冒问题严重。包括农行、工行、广大银行在内的多家银行应用均发现仿冒应用,这些仿冒应用直接威胁用户的银行卡、账号、密码等信息财产安全。

表1 部分银行移动应用仿冒列表

部分银行移动应用仿冒列表

仿冒应用不仅针对手机银行,甚至蔓延到现金贷、第三方支付等领域,2017年监测数据显示,仅互联网金融仿冒应用多达1300余个,仿冒APP累计下载量达3000万次,包括支付宝、京东金融等在内的主流支付应用皆被仿冒。

表2 仿冒活跃平台下载量 TOP5

仿冒活跃平台下载量TOP5

(二)      交通出行应用暴露安全隐患

2017年,包括“网约车”、共享单车等在内的交通出行移动应用总计达41,389款,其中危险应用(指恶意应用、高危应用、仿冒应用)占行业应用的比例高达21.03%,行业内恶意应用(157个)、仿冒应用(51个)及高危应用(8,495个)数量虽不多,但在行业快速发展时期,应用安全问题给监管部门带来了新的挑战。

交通出行行业危险应用分布

图10  交通出行行业危险应用分布

2017年“网约车”在市场上流行,深受终端用户欢迎,下载安装量巨大。然而,“网约车”行业应用出现“整蛊漏洞”、恶意扣费、司机恶意刷单等现象,相关的恶意应用混杂在移动应用市场上,甚至知名“网约车”应用也不幸被不法分子植入恶意代码,成为恶意行为传播的载体,严重威胁企业形象和用户隐私、财产安全。

表3 “网约车”恶意应用列表

 “网约车”恶意应用列表

2017年共享单车经历了从群雄逐鹿到以摩拜、ofo、哈罗三足鼎立的阶段,随着共享单车投放数量不断增多,停放乱象、车辆故障情况越发频繁,给城市管理部门应对增添难度,同时共享单车行业移动应用暴露出业务逻辑、二维码、产业链等各层面安全问题,导致安全事件频频发生。

业务逻辑安全。2017年3月,摩拜单车APP爆出业务逻辑漏洞,充一元钱竟然返现110。有网友利用此漏洞进行多次充值,共充值车费1500元,实际仅支付15元钱。2017年ofo小黄单车客户端因业务逻辑类型漏洞,导致在共享单车“红包大战”中日亏损千万的严重后果。

二维码安全。二维码是共享单车的一个身份标记,却在实际使用过程中产生诸多问题,如二维码被破。更有甚者,市面上出现了在原有单车上贴上其他的支付二维码现象。用户只要轻扫二维码就会出现转账页面,安全意识较弱的用户可能会直接转账,造成用户直接经济损失。

二维码被替换

图11  二维码被替换

黑色产业链。共享单车的发展也催生了一大批黑色产业链,倒卖用户信息现象严重。2017年ofo共享单车对学生和教职工有免押金优惠活动,任何人花费5-10元通过QQ群、淘宝及闲鱼等平台即可获得学生身份认证,从而赚取优惠。优惠活动背后的黑色产业链可能造成老师及学生个人信息被严重贩卖的情况。

通过关键字“ofo密码共享”搜索QQ群的结果

图12  通过关键字“ofo密码共享”搜索QQ群的结果

(三)      移动政务安全成热点话题

2017年11月,中国工程院院士倪光南在全球网络安全产业创新论坛上提出,政府公共部门成为黑客攻击的重点,包括网站篡改、植入后门、仿冒等针对政府公共部门的各种攻击态势有增无减。随着“互联网+政务”的推进,各类型终端和网络互联互通,移动接入给移动政务办公带来很大安全隐患,成为制约移动政务发展一大因素。

面对网络攻击威胁,政府办公类移动应用自身安全性有待加强。数据显示,2017年政府服务类移动应用中,高危应用数占比高达4.53%,安全漏洞为题突出。移动应用安全漏洞极容易导致黑客恶意攻击利用,并可能导致大量政府机密信息泄露。

  移动政务应用高危漏洞类型分布

图13  移动政务应用高危漏洞类型分布

移动政务类应用不仅面临高危漏洞安全风险,同时不少应用所有者安全意识薄弱,未对移动应用进行有效的加固防护。以某市交通管理类移动应用为例,安全专家对该应用代码进行分析,很容易就找到该应用的多个代码安全漏洞,这些漏洞极易导致设备被安装远程控制木马、通讯录和短信被窃取等安全事件发生。

某市交通管理APP运行界面及漏洞代码示意图

图14 某市交通管理APP运行界面及漏洞代码示意图

四、  网络黑产威胁

(一)  网络黑产规模已达千亿级别

个人信息泄露给社会带来了巨大的危害,而且在不断深化。数据显示:网民平均每周收到垃圾邮件18.9封,垃圾短信20.6条,骚扰电话21.3个。国家网络安全宣传周期间透露,仅2015年,电信网络诈骗案已经接近60万起,平均每天发案1640多起。根据中国裁判文书网公布的判决书显示,近年来侵害公民个人信息案件数量逐年增加。案件数量增加说明了两个问题:一是侵犯公民个人信息案件类型呈现多样化趋势;二是司法机关加大了对侵犯公民个人信息案件的打击力度。

2017年,因个人信息泄露、垃圾信息、诈骗信息等现象导致的损失高达 915 亿元,黑灰行业已经形成巨大的产业链。依据相关部门发布的信息看,网络黑色链条呈现出分工明确、组织严密的特点,网络黑色产业链从业人员已超过150万。黑灰产业链发展之快,远超预期。整个黑灰产业链存在上、中、下游三个阶段以及洗钱变现、社工库等辅助产业链,基本上为网络犯罪提供了完备的信息获取渠道和技术支持。2017年7月公安破获一起电信网络诈骗案,开展集中抓捕收网行动,共抓获犯罪嫌疑人177名,摧毁电信网络诈骗犯罪团伙及上下游灰色产业链犯罪团伙12个,初步核破案件千余起,涉案金额1000余万元,而这只是冰山一角。

互联网黑灰产业链

图15  互联网黑灰产业链

(二)  网络空间正式成为新战场

由于章莹颖案的触发,暗网成为一个热点话题。暗网是需要通过特殊软件、授权才能连接的网络。从实现逻辑上来讲,暗网链接需要一定的契约、技术手段和资金支付才可以进入。大多数登录暗网的人都是通过Tor洋葱网络实现。Tor,这个由美国情报局发明的工具,如今却成为大多数人进入暗网的首选方式。利用比特币的区块链去中心化、无法追踪的特性,比特币交易成为暗网的首选。在这个网络上你可以获得非法物品伪币、美国护照、海洛因、枪支等,能够肆意分享短片、发布极端思想博客,甚至洗钱,可以说成暗黑版亚马逊。

2017年不得不提的5月爆发WannaCry病毒,一种“蠕虫式”的勒索病毒软件由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大用户造成了巨大损失。统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重。我们看到背后似乎都有美国的身影。美联社7月17日,美国特朗普政府设立完全独立的隶属于国防部的网络战司令部。美国当地时间12月14日,FCC(美国联邦通信委员会)以3:2的投票正式废除网络中立规定,网络空间已经成为新战场。

(三)  移动应用勒索与挖矿“不甘落后”

2017年11月,诺基亚发布了《2017年度威胁情报报告》。报告中显示,智能手机占掉了所有移动网络病毒感染的72%,而其中Android设备的感染率达到了69%,远远过半。而原先病毒的主要攻击目标Windows设备,如今只剩下28%的感染率,因为互联网的主要入口已经是移动智能设备的天下。移动应用恶意勒索病毒也是值得警醒的,勒索病毒活跃度总体呈上升趋势,每月新增病毒数持续增加。其中,2017年4月份勒索病毒急剧增加,新增病毒总数达812个,比3月份增加了160.2%。国家互联网应急响应中心从4月份起发布一系列勒索病毒通报,相关单位和部门对勒索病毒采取了一定的防御措施。5月份之后,勒索病毒总体仍然处于上升趋势,每月病毒新增趋势略有放缓。

勒索攻击利用社会工程学,使受害人的手机感染。主要表现为直接诱惑和利用好奇心理达到攻击目的。直接诱惑中,攻击者将恶意程序乔装成与用户利益直接相关或有利可图的助手软件,如在社交类软件中,攻击者利用红包的诱惑伪装成红包助手类应用诱导下载,如“秒抢红包”、“红包速抢”、“红包外挂”等带有直接诱惑性的词语。移动终端支付便利性也给不法分子可乘之机。

 勒索病毒分布分布图

图16  勒索病毒分布分布图

在Andriod平台的病毒不仅在数量同时在技术也在呈现快速发展趋势。由于数字货币火热,特别是比特币疯狂暴涨,催熟挖矿行业的发展。2017年江苏电信校园内客户端被植入恶意挖矿代码,而根据签名分析其他几款软件也存在这样情况。最新安卓出现Laopi恶性病毒不仅具有免杀功能,同时病毒内部的挖矿模组,能把这些感染手机就会变成门罗币(Monero)的挖矿机。

(四)  移动网络黑产产业链成熟

从业人员年轻化、技术成熟化,攻击成本低廉化。以移动勒索病毒开发人员为例,以00后、90后为主的互联网技术爱好者、学习者在金钱的诱惑下或为满足自身的欲望逐渐成为“新人”黑客,在网络攻击中占比较大。病毒开发者呈现低龄化趋势。此类“菜鸟黑客”由于年龄小,缺乏健全的法制教育,自身抵制诱惑的能力较弱,在非法收益驱动下,对网络攻击的热情相对较高。“菜鸟黑客”大部分通过QQ群、贴吧等平台传播的源码、教程制作勒索病毒。此类黑客技术上略显拙劣,但我们对同一攻击者不同时期发布的病毒追踪分析发现,其攻击能力是在持续提升。虽然“菜鸟黑客”散布的病毒目前没有达到完全免杀,但技术能力仍然持续提升。“菜鸟黑客”攻击范围日益扩大,难清理、难监管,逐渐成为网络攻击的主力军,需要重点打击。

地下黑产行业已由原先的“个体户”变成“服务商”。恶意程序、锁机工具等开发者团队或视频教程、源码售卖团队担当“源码服务商”的角色向黑产下游团队提供丰富的用户数据资源以及攻击技术,并形成完整的攻击方案,使得地下黑产行业运作流程市场化。此类服务的提供,缩短病毒开发的周期、降低成本,使得攻击收益大幅提高。利用开源技术,人工智能、深度学习等技术手段在某些黑产领域已经有成熟商业模式。今年警方破获的市面上最大的“快啊答题”打码平台就是典型代表,他们运用目前最流行的人工智能AI技术训练机器,大大提高了识别验证码的精准度,也极大提升了犯罪嫌疑人在单位时间内识别验证码的数量。初步估计短短3个月该平台就提供服务达259亿次,平台累计打码量超过1700亿次。这套AI系统识别验证码成功率非常高,整体验证码识别率高达83.4%。

(五)  移动应用的数据安全成为焦点

2017年是数据泄露史上最糟糕的一年,2017年仅上半年被盗的数据,就已经超过了2016年全年被盗数据总量。数据泄露已成为全球最普遍存在的网络安全事件之一,而且这个趋势还将一直持续下去。数据窃取的目标除了政府机构已经扩大到第三方承包商和数据集成商,以及安全厂商和解决方案提供商自身。

3月份58同城简历数据泄露,10月有超过30亿用户的雅虎信息遭泄露,可以说“半个世界”信息都被盗。11月22日,据外媒报道,美国五角大楼意外暴露了美国国防部的分类数据库,其中包含美国当局在全球社交媒体平台中收集到的18亿用户的个人信息。11月Uber主动公开了去年曾向黑客支付10万美元封口费以隐瞒5700万账户数据泄露事件。而有些信息泄露是不可补救的,根据印度《论坛报》(Tribune)进行的调查显示,超过10亿印度公民的个人资料(包括指纹和虹膜等生物识别信息)正在在线出售,售价不足6英镑。这些信息或已被美国中央情报局(CIA)掌握,而指纹和虹膜等生物信息泄露,是不可逆转的,造成损失和后期带来的攻击都是无法预估的,这些数据关系到印度国家战略层面安全的问题。

而国内平均每一个移动应用含有1.5个高危漏洞,每个移动应用就有40个漏洞,多达80%的移动应用都存在内存敏感数据泄露问题。用户的个人通讯录、电话、短信、录音等数据都在偷偷流向“远方”。2017数据泄露之外数据之争也成为焦点,继顺丰菜鸟的数据之争后,腾讯、华为的互怼消息再次引爆全行业及社会对用户数据的关注。在大数据时代,用户数据背后所蕴藏的利益交织与地盘争夺,让不少巨头纷纷为此大打出手,似乎“谁掌握了数据,谁就能成功”。用户数据俨然已经成为各大互联网企业竞争的一座“金矿”。而对于我们使用者来说我们暴露在一个透明的时代。

如何在大数据时代保护个人隐私也成为焦点。国家从数据主权和国民数据两个方面,推动数据法律规范和标准体系的建立,保障国家数据安全。2017年6月1号正式实施《网络安全法》给出答案。纵观《国家安全法》和《网络安全法》,主要保护的对象是整体层面(包括国家和社会)的安全利益和个人层面的安全利益。2017年12月29日,全国信息安全标准化技术委员会归口的《信息安全技术个人信息安全规范》(GB/T35273-2017)正式发布,作为国家推荐标准将于2018年5月1日正式实施。其主要内容要素包括个人信息及其相关术语基本定义,个人信息安全基本原则,个人信息收集、保存、使用以及处理等流转环节以及个人信息安全事件处置和组织管理要求等。数据应用能力和价值来看,中国离数据强国还有不小的差距,需要我们共同努力建设好这个大数据时代。

五、   网络安全政策篇

近年来,世界各国纷纷加强网络安全领域的战略合作,以应对复杂多变的网络安全形势,共同应对网络空间的安全持挑战。

从习近平总书记提出“没有网络安全就没有国家安全”到《中华人民共和国网络安全法》的正式实施,国家围绕网络安全制定了诸多法律法规措施,推进了网络安全的发展,保障了包括移动安全在内的网络安全领域有法可依,从顶层设计上规划了网络安全大方向。国家网络安全工作纲领性文件,将为成为我国网络空间安全铸造的一道“防火墙”。

“九层之台,起于累土”,十九大以来,国家积极应对网络安全形势,出台各项安全条例,为互联网产业保驾护航。特别是2017年,各项政策措施相继出台,让企业有了新的目标和方向,为网络安全技术创新、网络安全企业做大做强提供了宝贵机遇。

(一)   网络强国法规基础逐步构建

2017年,我国网络安全法律政策围绕关键基础设施、个人数据安全、网络应急响应等核心制度展开,以“网络安全法”为根本性法律框架,密集发布多项要求性细则规定。

法规建设进程

图17  法规建设进程

1.  《国家网络空间安全战略》发布

12月27日,《国家网络空间安全战略》明确,当前和今后一个时期国家网络空间安全工作的战略任务是坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9个方面。

2.  《网络空间国际合作战略》发布

3月1日,中国外交部和国家互联网信息办公室共同发布《网络空间国际合作战略》。从九个方面提出了中国推动并参与网络空间国际合作的行动计划:维护网络空间和平与稳定、构建以规则为基础的网络空间秩序、拓展网络空间伙伴关系、推进全球互联网治理体系改革、打击网络恐怖主义和网络犯罪、保护公民权益、推动数字经济发展、加强全球信息基础设施建设和保护、促进网络文化交流互鉴。

3.  《网络安全法》正式施行

6月1日,《中华人民共和国网络安全法》是维护国家网络空间安全发展的利器。该法明确加强了对个人信息的保护,打击网络诈骗,在信息收集使用、网络运营者应尽的保护义务等方面提出了明确要求。2017年7月,针对“徐玉玉案”中被告人诈骗、侵犯公民个人信息案一审公开宣判,依法给予了严厉的处罚。

依据《网络安全法》法律框架,国家同时发布重要配套法规。6月27日,国家互联网信息办公室印发《国家网络安全事件应急预案》,其中将网络安全事件分成四级,并提出对应的预警和应急响应;11月23日,工业和信息化部印发《公共互联网网络安全突发事件应急预案》。明确了事件分级、监测预警、应急处置、预防与应急准备、保障措施等内容。移动互联网监管主体此次也同时并入公共互联网。

自《网络安全法》生效以来,与其相关的执法行为逐渐走向常态。就在这短短半年内的时间里,全国各地陆续出现多家机构因违反《网络安全法》被责令整改或被处罚,其中腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查。

随着《网络安全法》的进一步实施,国家要求各互联网企业严格遵守相关法律法规,遵循合法、正当、必要的原则收集使用个人信息,不得收集服务所必需以外的用户个人信息,不得将信息用于提供服务之外的目的,不得非法向他人出售或提供个人信息,同时进一步优化服务协议、用户隐私政策和手机权限调用说明,维护用户合法权益。

(二)   物联网产业安全受到重视

2017年人工智能再一次在全球崛起,催生了大量新技术、新产品、新模式,对大数据的智能化处理使物联网领域发展进入新阶段,当前产业正处于爆发前的战略机遇期。值此物联网发展的关键时间里,我国物联网政策发力布局,顶层设计不断完善。

在全面推动物联网发展的同时,我们看到联网相关安全问题也逐渐显露。2016年10月底,僵尸网络Mirai开始成形。Mirai利用物联网设备进行传播,发起大规模DDoS攻击,当时曾导致美国半个互联网瘫痪。Amazon、Spotify、Twitter等知名公司网站纷纷中招。到2017年,Mirai开始升级,利用Windows木马大肆传播。旧攻击方式重受青睐,由于物联网安全问题太多,利用物联网组成的僵尸网络日渐庞大,DDoS攻击数量猛增,且已经走向商业化。未来,与僵尸网络有关的DDoS攻击还可能继续增长。

由于物联网是一个特别大的生态,包括的行业非常多,信息安全保护方面目前还没有制定统一的国家标准,而物联网安全的标准和政策对物联网行业的健康发展非常重要。没有政策和法规引导,物联网行业安全保障容易出现混乱而不成体系的局面,安全技术正是物联网产业健康发展的瓶颈。我国物联网领域的相关安全策略正在积极探索:

12月12日,工业和信息化部印发《工业控制系统信息安全行动计划(2018-2020年)》,意在加快我国工业控制系统信息安全保障体系建设,提升工业企业工业控制系统信息安全防护能力,促进工业信息安全产业发展。

物联网是信息技术发展的一个新阶段,物联网安全问题关系到各行业的安危,甚至在一定程度上关系到国家安全,理应做到未雨绸缪,而不能等到亡羊补牢。合适的政策可以更好的地引导物联网行业与信息安全科学的结合,提高物联网系统的安全保护。

(三)   “互联网内容安全”深入推进

2017年,加强网络信息内容治理越来越成为国内外共识。国家一方面通过立法和出台措施加强政府对网络内容的监管,另一方面要求互联网公司对在互联网上传播的极端主义、恐怖主义和虚假信息等内容担负起监管责任。

6月1日,《互联网新闻信息服务管理规定》开始实施。此后,舆论导向更加鲜明、网络主权充分彰显、公民隐私得到保护、新媒体不再是新闻“自由王国”、网络新闻采编更加严格。互联网服务提供商和社交媒体巨头被要求加大联合打击在线违法内容的力度,鼓励该行业开发并分享相关新技术,以提升自动监测内容的能力。11月22日,“红黄蓝事件”中,有人利用网络编造、传播虚假信息,造成恶劣社会影响,犯罪分子依法被严惩。12月29日,今日头条、凤凰新闻手机客户端因持续传播色情低俗信息、违规提供互联网新闻信息服务等问题,两家企业暂停更新12小时,全面清理网上违规内容。

10月8日,《互联网用户公众账号信息服务管理规定》和《互联网群组信息服务管理规定》开始施行,将互联网用户公众账号以及各类群组全部纳入管理范围,包括“谁建群谁负责”、“公众平台设总编辑“、“公众账号须备案”、“群组须备案”、“建立黑名单管理制度”、“后台实名,前台自愿”、“网络日志留存不少于6个月”、“有证才能发新闻”等等一系列要求。

11月1日,《互联网域名管理办法》开始实施,要求注册域名应向服务商提供域名持有者真实、准确、完整的身份信息等域名注册信息,完善域名注册信息登记和个人信息保护制度以及加强事中事后监管。

2017年,互联网与政治、经济发展的融合度进一步加深,提升互联网安全级别,加强互联网信息监管成为国家及相关产业的方向。伴随着技术进步,国家推出增强网络安全、提升网络内容监管的举措和理念,未来在互联网领域将不断渗透,同时针对互联网监管也将愈发成熟,网络空间不再是逍遥法外之地。

(四)   网络安全保障体系不断完善

网络安全领域的建设离不开合理的立法和标准的指导,《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。在立法后还需要长期建立过程,实施细则上任重道远,如何让这部法律发挥最大的积极作用,既能够对困扰已久的国家、企业、社会和个人等不同层面的安全问题有立竿见影的作用,也要符合互联网强大的创新活力和各种变革的可能性,确保有利于互联网产业和网络空间良性健康的继续发展。

8月18日,杭州互联网法院挂牌成立,是全国第一家集中审理涉网案件的试点法院。网络行为尤其是网络经济行为数量的膨胀,也伴随着网络纠纷甚至网络犯罪的出现。互联网法院的成立,对于预防犯罪、发挥法律的警示效应、规范网民和网络平台的行为,具有积极作用,从而实现网络生态空间的政通人和。

10月15日,全国信息安全标准化技术委员会2017年第二次会议周在厦门召开,网络安全等级保护制度(等保2.0)正在积极推动过程中,将会影响到云计算安全、移动互联安全、物联网安全、工业控制系统安全等领域的产品、服务合规要求。规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设。

国家网络安全法作为建设网络强国的法制保障,为网络安全带来了机遇,网络安全行业将更加有序、更加有章可循,相关工作也会更加规范地开展和实施。所涉及的相关组织机构、人员等重视程序、意识形态也将得到明显的改善和提升。

六、   移动应用趋势篇

(一)   移动应用漏洞影响持续扩大

移动安全的边界在逐步扩大,除了传统的Android、iOS生态的安全漏洞外,数量迅速上升的物联网设备、智能汽车、无人机等设备,其安全问题也纳入了移动安全范围。这将使得移动安全漏洞数量有数量级的增长,且漏洞的复杂程度、种类、修复难度等都有了质的变化,其造成影响也愈发深远。

应用于服务器的人工智能芯片,悄然进入了智能手机领域。华为麒麟970的NPU,苹果A11的神经网络引擎,已经运行于各自的旗舰手机。而流行深度学习框架如Tensorflow等,也推出了用于边缘计算的Lite版本,可部署在智能手机等移动终端设备,人工智能技术开始本地化,为移动应用提供了更多想象空间。移动终端设备语音处理、自然语言识别、图像识别能力得到大幅加强。

创新让移动应用变得丰富多彩的同时,也带来了诸多的安全隐患。苹果的FaceID技术可被基于图片制作的3D假脸骗过,从而解锁手机,造成重大安全隐患。2017年12月,研究机构指出,Tensorflow、Caffe、Torch三个AI框架存在15个安全漏洞,可以被黑客用于攻击,可篡改数据流,欺骗人工智能应用。浙江大学通过将人声信息转化为超声波,可在用户没有感知的情况下,远距离操作如Siri、Alexa等智能语音助手,进行拨打电话等操作。

移动安全漏洞涵盖硬件漏洞、固件漏洞、软件漏洞等多种漏洞。在经济利益驱使下,黑产组织会不断挖掘各类设备漏洞,谋取不法财物。而网络安全白帽出于防御需求,也会深挖漏洞以期更好的防御策略。技术不断创新、设备种类增加、黑帽白帽持续挖掘,安全漏洞数量将持续攀升,而其造成的负面影响,将持续扩大。

安全漏洞的不可预见性,甚至催生了新的保险种类。安全公司为了对抗来自未来漏洞的风险,为其安全产品购买保险,对其用户在服务期内因安全问题造成的损失,进行理赔。然而安全问题的发现周期、责任认定、损额确认等问题,又进一步导致了保险理赔的复杂性,这种投保行为需要根据企业经济实力及投保商业损失赔付可行性综合评定。

(二)   移动应用与物联网深度融合

2017年,物联网设备数量已经超过人类数量总和,达到84亿,较之2016年增长31%。而得益于5G落地进程快速推进,NB-IOT开始规模商用,设备成本持续下降,高精度定位网络日趋完善,物联网产业整体规模将保持高速增长。2020年我国移动物联网市场规模预计可达1.76万亿元,市场年均复合增长率将达15%,全球物联网市场规模将达1.9万亿美元。

物联网已从如何低成本大规模部署,演进为怎样高效率利用物联网大数据,落地到解决生产生活的效率、安全、管理问题。云计算为大数据处理提供了有效支撑,而移动应用已逐渐成为数据展示与信号控制中心。小米在2017MIDC大会上宣布,其物联网开放平台连接的设备超过8500万台。而其中的大部分设备,都可以通过小米推出的米家App进行管理,可以读取设备数据、设置设备参数、升级设备固件。移动应用已经与物联网深度融合,成为物联网产业链的重要一环。

移动应用具有对物联网设备的访问权与控制权,可以对设备数据进行存储展示,对设备进行管理控制,这无疑为黑客创造了更大的攻击面。当物联网移动应用被攻击破解,黑客可能获取了智能摄像头的控制权及视频数据,造成隐私泄露。当物联网设备遭到破解,黑客可能将儿童智能手表的位置语音信息转发到另一个账号,黑客只要登陆相应的移动应用账号,即可获取儿童智能手表包含地理位置在内的所有信息,造成重大安全隐患。

物联网产业上下游供应链极长,复杂度高。为保障物联网整体安全,需要组建一个全面安全保障体系,涵盖硬件安全、固件安全、通信链路安全、服务器安全、数据存储安全、移动应用安全在内的所有节点。而移动安全是物联网安全体系的重头戏之一,应当引起足够的重视。

(三)   企业安全防护策略更加主动

在数字经济高度发达的当下,数据已经成为企业核心资产,数据泄露可能造成重大经济损失,极大影响企业的声誉。2017年12月,安全人员检测到国外reddit论坛上公开了一份长期在暗网中心交易的数据文件,这些数据包含了14亿用户的用户名和密码。据统计,企业每条包含敏感和机密信息的丢失或被盗记录的平均成本达到141美元。数据泄露对企业造成的经济损失、名誉损失异常惨重。

近年来,我国网络安全地位持续上升,已上升至国家战略地位。网络安全等级保护2.0版本也纳入了对移动互联、物联网、云计算、工业控制等新型的技术及系统的保护要求。由于数据价值的日益凸显,企业对于网络安全保障的投入也逐年上升,据调查显示,中国内地与香港企业在网络安全方面的平均投入比全球数值高出23.5%,受访企业的平均预算达630万美元。

相对于风险保护这种被动挨打的方式,企业保障网络安全的方式开始倾向于主动出击的预防模式。人工智能的应用,将积极推动企业采用主动防御策略。人工智能将辅助安全专家,抹平从“检测到安全威胁”到“进行补救”的时间差。思科在应用机器学习后,结合共享共通的威胁情报,将发现威胁的时间由原来的十数天降低到3.5小时。在移动安全领域,人工智能应用突飞猛进,活跃于恶意软件识别、隐藏活动监控、移动威胁探测等多个方面。

由于网络安全问题的牛尾效应,问题越早发现,造成的损失越小。结合现有的被动防御体系,增加提前预警、自发修复的主动预防比重,是企业网络安全防护的应用趋势。

(四)   移动网络安全人才缺口扩大

网络安全人才缺口仍在不断扩大,而移动网络安全作为新兴领域,人才需求更加紧迫。2017年9月份召开的“第十一届网络空间安全学科专业建设与人才培养研讨会”指出,高校的网络安全毕业生数量满足不了人才需求缺口。目前我国有105所高校设置信息安全相关本科专业,每年培养本科生和研究生约1万人、大专生约2万人。

我国目前已培养的信息安全专业人才总量不足10万,离目前需要的70万差距巨大。由于规模小、水平低,远远满足不了信息安全产业发展对高层次专门人才的需求,导致我国信息安全关键工程整体上比较落后。网络安全人才连续几年被列为最急需的人才之一。

我国存在安全人才培养与实际需求脱轨、缺少网络空间安全奇才和专才的发现和培养体系等问题。非科班出身的“黑客”往往实践经验丰富,但是目前的人才培养体系无法保障这些人才为国家的网络空间安全事业所用。

网络空间安全已经成为国家安全的战略高地,网络安全人才培养亟待加强。除了大力支持中青年教师出国交流、培训学习,提高教学质量,还可以改革目前的人才培养模式。可以尝试企业学校合作共建产学研用一体化,理论知识结合实战经验,建设开放的在线课程资源和演练环境;本硕博连读,缩短学制;增设少年班,对有专长的学生保送进入本科学习;多项措施并举,加强网络安全人才培养。

七、   总结

移动互联网十年发展历程,总体规模逐渐放缓,行业深层调整回归理性。从习近平总书记提出“没有网络安全就没有国家安全”到《网络安全法》正式实施,政府、企业及用户正在移动安全方面采取行动:针对移动互联网安全相关法律法规和标准在陆续出台和完善;结合安全企业、安全机构等跨部门、跨行业间的合作正在加强;应用平台备案、APP实名管理、安全监测、违法违规曝光、清理和整治工作正在逐步实施。

由于互联网用户规模逐渐扩大,应用场景逐渐增多,同时不法分子攻击手段也在不断升级,2018年移动安全工作仍有多方面要加强,移动安全事业任重道远,作为移动安全领域研究机构,通付盾移动安全实验室愿联合社会各界力量,一起携手,共同维护移动互联网安全。

附录一:参考资料

【1】   《身份危机》汪德嘉等编著

【2】   《移动物联网(2017)行业研究报告》

【3】   《科学美国人》评选的2017年十大科学故事

【4】   《2017年全球数据泄露成本研究》

【5】   通付盾移动安全实验室联合交通运输信息安全中心发布共享单车行业移动应用安全报告

【6】   漏洞战争:软件漏洞发展趋势

【7】   2017安卓应用第三方SDK威胁概况

【8】   通付盾移动安全实验室全国首发2017移动互联网勒索病毒专项研究报告

*本文作者:通付盾科技payegis;转载请注明来自 FreeBuf.COM

来源:freebuf.com 2018-02-20 08:00:49 by: 通付盾

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论