萬(wàn)物互聯(lián)的大數(shù)據(jù)時(shí)代旦委，人們通過(guò)讓渡部分個(gè)人信息使用權(quán)來(lái)獲得更多的生活便利奇徒。然而，大數(shù)據(jù)畫(huà)像漸漸成為盜取信息的隱蔽后門(mén)缨硝，“以隱私換便捷”現(xiàn)狀助長(zhǎng)了移動(dòng)應(yīng)用不受限的越界獲取核心隱私權(quán)限摩钙，此外，移動(dòng)應(yīng)用目前還面臨病毒木馬入侵查辩、惡意軟件胖笛、后門(mén)軟件网持，惡意網(wǎng)頁(yè)等諸多安全問(wèn)題。

通付盾移動(dòng)安全實(shí)驗(yàn)室最新發(fā)布《2018年一季度移動(dòng)應(yīng)用安全態(tài)勢(shì)報(bào)告》（簡(jiǎn)稱《報(bào)告》）從移動(dòng)應(yīng)用數(shù)據(jù)安全出發(fā)长踊，以“隱私數(shù)據(jù)保護(hù)之殤”為主題功舀，揭示2018年一季度移動(dòng)安全整體態(tài)勢(shì)，希望引起用戶對(duì)移動(dòng)互聯(lián)網(wǎng)安全的重視之斯，保障中國(guó)移動(dòng)互聯(lián)網(wǎng)的安全。

以下為《報(bào)告》精彩全文：

?一遣铝、移動(dòng)應(yīng)用安全概覽?

一季度佑刷，通付盾全渠道應(yīng)用監(jiān)測(cè)平臺(tái)共發(fā)現(xiàn)惡意應(yīng)用3,509款（1月新增848款、2月新增1,065款酿炸、3月新增1596款）瘫絮，主要以資費(fèi)消耗、信息竊取及流氓行為等惡意類型為主填硕；同時(shí)我們還發(fā)現(xiàn)麦萤，部分移動(dòng)應(yīng)用越界獲取用戶隱私權(quán)限問(wèn)題突出，尤其工具類APP獲取用戶核心隱私權(quán)限現(xiàn)象普遍扁眯。

?(一)?惡意應(yīng)用增長(zhǎng)趨勢(shì)?

一季度新增惡意應(yīng)用共計(jì)3,509款（1月新增848款壮莹、2月新增1,065款、3月新增1596款）姻檀，惡意應(yīng)用數(shù)量增長(zhǎng)的同時(shí)命满，攻擊招數(shù)也在不斷進(jìn)化：不少病毒程序制作者使用加密平臺(tái)對(duì)自身進(jìn)行加密保護(hù)；小程序的走紅也為黑客們提供新的攻擊平臺(tái)绣版，各類小程序外掛泛濫胶台；比特幣瘋狂期各類挖礦木馬層出不窮，用戶在不經(jīng)意間杂抽，手機(jī)變成挖礦機(jī)诈唬。

圖1一季度新增惡意應(yīng)用趨勢(shì)圖

?(二)?惡意應(yīng)用行為分布?

一季度，資費(fèi)消耗（占比29.77%）缩麸、信息竊戎酢（占比27.73%）及流氓行為（占比22.65%）三類占比最高。尤其以WiFi蹭網(wǎng)類惡意應(yīng)用行為最為突出杭朱，大部分用戶在享受應(yīng)用帶來(lái)“便利”的同時(shí)愚屁，未注意到程序可能通過(guò)某些途徑來(lái)獲取個(gè)人信息，包括姓名痕檬、生日霎槐、身份證、住址梦谜、電話號(hào)等丘跌，用戶核心隱私權(quán)限正在遭竊取袭景。

圖2一季度新增惡意應(yīng)用類型占比圖

?(三)?惡意應(yīng)用地域分布?

通過(guò)對(duì)惡意應(yīng)用進(jìn)行地域追蹤發(fā)現(xiàn)，惡意應(yīng)用主要分布在北京闭树、廣東以及福建等經(jīng)濟(jì)發(fā)達(dá)地區(qū)耸棒。其中，北京地區(qū)發(fā)現(xiàn)的惡意應(yīng)用數(shù)量最多报辱，一季度共新增1647款惡意應(yīng)用与殃。惡意應(yīng)用整體分布TOP5情況如下圖中所示：

圖3一季度新增惡意應(yīng)用地域分布TOP5

?(四)?惡意應(yīng)用擴(kuò)散情況?

一季度，惡意應(yīng)用擴(kuò)散排名TOP10中碍现，絕大部分為信息竊取類惡意應(yīng)用幅疼，它們肆無(wú)忌憚地獲取用戶隱私信息，進(jìn)行惡意廣告推送昼接、短信欺詐等爽篷，造成用戶資費(fèi)消耗，甚至系統(tǒng)破壞慢睡，其中不少應(yīng)用用戶數(shù)量上億級(jí)別逐工，影響用戶范圍廣泛。

表1 惡意應(yīng)用擴(kuò)散數(shù)量排名TOP10

2018年第一季度漂辐，我們觀察到移動(dòng)惡意應(yīng)用總數(shù)較2017年第四季度顯著增加泪喊，以QQ營(yíng)銷(xiāo)病毒、“RottenSys”惡意廣告病毒等為代表的惡意代碼泛濫髓涯，大多數(shù)用戶安全意識(shí)不足窘俺，對(duì)Android應(yīng)用安全風(fēng)險(xiǎn)防范做法缺少認(rèn)知，不少用戶甚至從不正規(guī)渠道及應(yīng)用商店下載應(yīng)用程序复凳，更加大了感染惡意程序的機(jī)會(huì)瘤泪。

從移動(dòng)威脅趨勢(shì)上看，具備自動(dòng)化和對(duì)抗能力的惡意軟件工廠不斷涌現(xiàn)育八，惡意挖礦木馬愈演愈烈对途，公共基礎(chǔ)服務(wù)成為惡意軟件利用的新平臺(tái)，腳本語(yǔ)言成為惡意軟件新的技術(shù)熱點(diǎn)髓棋，一季度移動(dòng)安全態(tài)勢(shì)整體情況不容樂(lè)觀实檀。

?二、移動(dòng)應(yīng)用隱私安全專題?

進(jìn)入移動(dòng)互聯(lián)網(wǎng)時(shí)代按声，企業(yè)往往存儲(chǔ)著大量用戶信息資料膳犹，《網(wǎng)絡(luò)安全法》的第二十一條對(duì)數(shù)據(jù)安全作出明確說(shuō)明：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取签则、篡改须床。這充分說(shuō)明了企業(yè)數(shù)據(jù)安全、企業(yè)信息安全已經(jīng)成為關(guān)乎國(guó)計(jì)民生的重要方面渐裂。

以下將從信息竊取類惡意應(yīng)用豺旬、移動(dòng)應(yīng)用越界獲取用戶隱私狀況等角度钠惩，詳細(xì)闡述2018年一季度移動(dòng)應(yīng)用用戶隱私信息安全狀況。

?(一)?信息竊取類惡意應(yīng)用分析?

一季度全網(wǎng)共發(fā)現(xiàn)信息竊取類惡意應(yīng)用總計(jì)975款族阅，占全網(wǎng)惡意應(yīng)用的27.73%篓跛，這些惡意應(yīng)用通過(guò)某些途徑來(lái)獲取個(gè)人信息：包括姓名、生日坦刀、身份證愧沟、住址、電話號(hào)等鲤遥，隱私政策中使用用戶信息沐寺，向用戶進(jìn)行惡意廣告，侵害用戶合法權(quán)益渴频。以下將從信息竊取類惡意應(yīng)用芽丹、移動(dòng)應(yīng)用越界獲取用戶隱私狀況等角度北启，詳細(xì)闡述2018年一季度移動(dòng)應(yīng)用用戶隱私安全狀況卜朗。

1.?信息竊取類應(yīng)用行業(yè)分布

從行業(yè)分布來(lái)看，游戲娛樂(lè)行業(yè)的信息竊取類惡意應(yīng)用最為集中咕村，占到所有行業(yè)的49.46%场钉，行業(yè)內(nèi)如“笑話島”、“盜墓的空間”懈涛、“鉆石消消樂(lè)”等多款A(yù)PP存在竊取用戶信息逛万、強(qiáng)行捆綁推廣應(yīng)用軟件等突出問(wèn)題。生活服務(wù)行業(yè)應(yīng)用信息竊取現(xiàn)象同樣嚴(yán)重（占比25.27%）批钠，一些網(wǎng)絡(luò)公司瞄準(zhǔn)美團(tuán)外賣(mài)宇植、餓了么等生活服務(wù)類應(yīng)用，專門(mén)“扒取”用戶訂餐信息埋心，打包出售給電話銷(xiāo)售公司指郁。

圖4信息竊取類惡意應(yīng)用行業(yè)分布

2.?信息竊取類應(yīng)用市場(chǎng)分布

各大應(yīng)用市場(chǎng)均有信息竊取類惡意應(yīng)用蹤跡。其中數(shù)量最多占比最高的前十個(gè)移動(dòng)應(yīng)用市場(chǎng)分別是：應(yīng)用寶（437）款拷呆、安智市場(chǎng)（198款）闲坎、豌豆莢（143款）等。

圖5信息竊取類惡意應(yīng)用市場(chǎng)分布TOP10

3.?典型信息竊取類應(yīng)用案例分析

WiFi解密鑰匙?該應(yīng)用（版本號(hào)：2.0）是一款自動(dòng)獲取周邊免費(fèi)Wi-Fi熱點(diǎn)信息并建立連接的android手機(jī)工具茬斧。裝機(jī)量超過(guò)5000萬(wàn)腰懂，影響用戶范圍廣泛。

圖6WiFi萬(wàn)能鑰匙運(yùn)行界面截圖

經(jīng)分析项秉，該應(yīng)用具有獲取用戶IMEI绣溜、MAC地址、系統(tǒng)版本等信息并發(fā)送至遠(yuǎn)程服務(wù)器的行為娄蔼，造成用戶隱私泄露涮毫。具體代碼分析如下：

1.com.cnzz.mobile.android.sdk.u類的函數(shù)String c(boolean)收集多種設(shè)備信息瞬欧，并且調(diào)用com.cnzz.mobile.android.sdk.g的函數(shù)String a(Context)獲取進(jìn)一步的隱私信息：

類com.cnzz.mobile.android.sdk.g，函數(shù)String a(Context)?

圖7獲取設(shè)備信息代碼截圖

類com.cnzz.mobile.android.sdk.u罢防，函數(shù)String c(boolean)：?

圖8造成隱私泄露代碼截圖

2.com.cnzz.mobile.android.sdk.u類的另一個(gè)函數(shù)boolean b(boolean)調(diào)用函數(shù)String c(boolean)艘虎，獲得隱私數(shù)據(jù)；再經(jīng)函數(shù)String a(String, boolean)發(fā)送至遠(yuǎn)程服務(wù)器咒吐。造成了用戶數(shù)據(jù)泄露野建。?

圖9遠(yuǎn)程發(fā)生數(shù)據(jù)代碼截圖

?(二)?越界獲取用戶隱私權(quán)限狀況?

隨著智能手機(jī)的普及，諸多具有形形色色功能的APP在應(yīng)用商店上架并被下載恬叹。不經(jīng)意間候生，某些“越界索權(quán)”的APP就會(huì)侵犯用戶的合法權(quán)利，甚至造成嚴(yán)重的財(cái)產(chǎn)損失绽昼。手機(jī)應(yīng)用越界獲取用戶隱私權(quán)限會(huì)帶來(lái)巨大的安全風(fēng)險(xiǎn)隱患唯鸭，如隱私信息被竊取、用戶信息被用于網(wǎng)絡(luò)詐騙硅确、造成經(jīng)濟(jì)損失目溉、手機(jī)卡頓現(xiàn)象嚴(yán)重等。

1.?越界獲取用戶隱私權(quán)限總體情況

一季度菱农，移動(dòng)應(yīng)用越界獲取用戶隱私權(quán)限現(xiàn)象嚴(yán)重缭付，尤其越界讀取位置信息現(xiàn)象普遍，數(shù)據(jù)顯示循未，11.2%的移動(dòng)應(yīng)用存在該類行為陷猫，移動(dòng)應(yīng)用越界獲取隱私權(quán)限總體情況如下圖中所示：

圖10 ?移動(dòng)應(yīng)用越界獲取隱私權(quán)限總體情況

應(yīng)用權(quán)限過(guò)多也是移動(dòng)APP當(dāng)前普遍現(xiàn)狀，一個(gè)APP往往會(huì)獲取近百個(gè)權(quán)限的妖，而其中大部分都是無(wú)必要的權(quán)限绣檬。數(shù)據(jù)顯示，高達(dá)96.6%的Android應(yīng)用會(huì)獲取用戶手機(jī)隱私權(quán)嫂粟，而iOS應(yīng)用的這一數(shù)據(jù)也高達(dá)69.3%娇未。?

圖11?UC瀏覽器的權(quán)限列表

2.?越界獲取用戶隱私權(quán)限行業(yè)分析

行業(yè)監(jiān)測(cè)數(shù)據(jù)顯示，目前常用工具類應(yīng)用獲取用戶隱私權(quán)限現(xiàn)象最為普遍赋元，行業(yè)內(nèi)如號(hào)簿助手忘蟹、微桌面、Hola桌面搁凸、追書(shū)神器媚值、微鎖屏等應(yīng)用在自身功能不必要的情況下獲取用戶隱私權(quán)限的行為。

圖12 ? 獲取用戶隱私權(quán)限的移動(dòng)應(yīng)用行業(yè)分布

治理APP“越界索權(quán)”护糖，保護(hù)個(gè)人信息安全褥芒，不能只靠用戶個(gè)體的“火眼金睛”，更要為APP的權(quán)限劃定界限，為互聯(lián)網(wǎng)企業(yè)在信息安全管理責(zé)任方面劃清法律紅線锰扶。正如業(yè)內(nèi)人士指出献酗，加強(qiáng)監(jiān)管和執(zhí)法力度，才是解決此類問(wèn)題的治本之策坷牛。

3.典型越界獲取用戶隱私權(quán)限應(yīng)用案例分析

QQ飛車(chē)攻略??該應(yīng)用（版本號(hào)1.0.0）為一款游戲攻略指南APP罕偎。

圖13“QQ飛車(chē)”運(yùn)行界面

通過(guò)對(duì)該應(yīng)用靜態(tài)分析發(fā)現(xiàn)該應(yīng)用申請(qǐng)了大量應(yīng)用權(quán)限，不少應(yīng)用權(quán)限涉及用戶用戶身份信息京闰，甚至支付信息颜及，直接威脅用戶的隱私財(cái)產(chǎn)安全。?

圖14 ? “QQ飛車(chē)”申請(qǐng)權(quán)限代碼

進(jìn)一步分析發(fā)現(xiàn)蹂楣，該應(yīng)用在代碼中添加多個(gè)第三方插件俏站，為其添加廣播服務(wù)，同時(shí)應(yīng)用存在監(jiān)聽(tīng)用戶短信內(nèi)容痊土，攔截回執(zhí)短信并刪除短信會(huì)話等惡意行為肄扎。

圖15 ? 監(jiān)聽(tīng)短信內(nèi)容并攔截回執(zhí)短信代碼

?三、總結(jié)?

隨著云計(jì)算赁酝、大數(shù)據(jù)時(shí)代的到來(lái)犯祠，越來(lái)越多的企業(yè)和機(jī)構(gòu)擁有搜索個(gè)人信息的能力，個(gè)人信息的使用赞哗、交互雷则、跨境傳輸越發(fā)頻繁辆雾。大型互聯(lián)網(wǎng)公司肪笋、超級(jí)APP現(xiàn)在已可被視為基礎(chǔ)信息平臺(tái)，如阿里度迂、百度藤乙、騰訊等擁有數(shù)億用戶，如何應(yīng)對(duì)黑客攻擊惭墓、惡意病毒坛梁、信息竊取等各類安全問(wèn)題需要各方力量共同參與，同時(shí)腊凶，也要有相關(guān)的法律條款划咐，對(duì)大企業(yè)的“霸王條款”、越界獲取用戶隱私權(quán)限行為等進(jìn)行規(guī)制钧萍。

《網(wǎng)絡(luò)安全法》出臺(tái)到具體落實(shí)褐缠，目前還有一些配套措施需要完善。2017年风瘦，在信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作基礎(chǔ)上队魏，為了配合《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求，公安部發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（簡(jiǎn)稱等保2.0）,以適應(yīng)移動(dòng)互聯(lián)等新技術(shù)万搔、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展胡桨，新標(biāo)準(zhǔn)針對(duì)移動(dòng)互聯(lián)應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出安全擴(kuò)展要求官帘，形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)。

圖16 《等保2.0》保護(hù)對(duì)象變化示意圖

未來(lái)昧谊，移動(dòng)產(chǎn)業(yè)的發(fā)展帶來(lái)社會(huì)巨大變革刽虹，移動(dòng)安全和威脅對(duì)抗逐漸進(jìn)入新的階段：政府移動(dòng)辦公應(yīng)用數(shù)據(jù)將成為惡意軟件攻擊的重要目標(biāo)；黑客可能攻破物聯(lián)網(wǎng)移動(dòng)應(yīng)用呢诬，獲取智能攝像頭的控制權(quán)及視頻數(shù)據(jù)等状婶，造成隱私數(shù)據(jù)泄露；進(jìn)入《等保2.0》時(shí)代的企業(yè)安全防護(hù)將更加主動(dòng)馅巷，尤其人工智能等新技術(shù)的應(yīng)用膛虫，將輔助安全專家抹平從“監(jiān)測(cè)到安全威脅”到補(bǔ)救的時(shí)間差。

來(lái)源 | 金融科技安全

免責(zé)聲明：轉(zhuǎn)載內(nèi)容僅供讀者參考钓猬。如您認(rèn)為本公眾號(hào)的內(nèi)容對(duì)您的知識(shí)產(chǎn)權(quán)造成了侵權(quán)稍刀，請(qǐng)立即告知，我們將在第一時(shí)間核實(shí)并處理敞曹。