万物互联的大数据时代,人们通过让渡部分个人信息使用权来获得更多的生活便利。然而,大数据画像渐渐成为盗取信息的隐蔽后门,“以隐私换便捷”现状助长了移动应用不受限的越界获取核心隐私权限,此外,移动应用目前还面临病毒木马入侵、恶意软件、后门软件,恶意网页等诸多安全问题。

通付盾移动安全实验室最新发布《2018年一季度移动应用安全态势报告》(简称《报告》)从移动应用数据安全出发,以“隐私数据保护之殇”为主题,揭示2018年一季度移动安全整体态势,希望引起用户对移动互联网安全的重视,保障中国移动互联网的安全。

以下为《报告》全文:

一、移动应用安全概览

一季度,通付盾全渠道应用监测平台共发现恶意应用3,509款(1月新增848款、2月新增1,065款、3月新增1596款),主要以资费消耗、信息窃取及流氓行为等恶意类型为主;同时我们还发现,部分移动应用越界获取用户隐私权限问题突出,尤其工具类APP获取用户核心隐私权限现象普遍。

(一)恶意应用增长趋势

一季度新增恶意应用共计3,509款(1月新增848款、2月新增1,065款、3月新增1596款),恶意应用数量增长的同时,攻击招数也在不断进化:不少病毒程序制作者使用加密平台对自身进行加密保护;小程序的走红也为黑客们提供新的攻击平台,各类小程序外挂泛滥;比特币疯狂期各类挖矿木马层出不穷,用户在不经意间,手机变成挖矿机。

一季度新增恶意应用趋势图 (二)恶意应用行为分布

图1一季度新增恶意应用趋势图

(二)恶意应用行为分布

一季度,资费消耗(占比29.77%)、信息窃取(占比27.73%)及流氓行为(占比22.65%)三类占比最高。尤其以WiFi蹭网类恶意应用行为最为突出,大部分用户在享受应用带来“便利”的同时,未注意到程序可能通过某些途径来获取个人信息,包括姓名、生日、身份证、住址、电话号等,用户核心隐私权限正在遭窃取。

一季度新增恶意应用类型占比图 (三)恶意应用地域分布

图2一季度新增恶意应用类型占比图

(三)恶意应用地域分布

通过对恶意应用进行地域追踪发现,恶意应用主要分布在北京、广东以及福建等经济发达地区。其中,北京地区发现的恶意应用数量最多,一季度共新增1647款恶意应用。恶意应用整体分布TOP5情况如下图中所示:

一季度新增恶意应用地域分布TOP5 (四)恶意应用扩散情况

图3一季度新增恶意应用地域分布TOP5

(四)恶意应用扩散情况

一季度,恶意应用扩散排名TOP10中,绝大部分为信息窃取类恶意应用,它们肆无忌惮地获取用户隐私信息,进行恶意广告推送、短信欺诈等,造成用户资费消耗,甚至系统破坏,其中不少应用用户数量上亿级别,影响用户范围广泛。

恶意应用扩散数量排名TOP10

表1 恶意应用扩散数量排名TOP10

2018年第一季度,我们观察到移动恶意应用总数较2017年第四季度显著增加,以QQ营销病毒、“RottenSys”恶意广告病毒等为代表的恶意代码泛滥,大多数用户安全意识不足,对Android应用安全风险防范做法缺少认知,不少用户甚至从不正规渠道及应用商店下载应用程序,更加大了感染恶意程序的机会。

从移动威胁趋势上看,具备自动化和对抗能力的恶意软件工厂不断涌现,恶意挖矿木马愈演愈烈,公共基础服务成为恶意软件利用的新平台,脚本语言成为恶意软件新的技术热点,一季度移动安全态势整体情况不容乐观。

二、移动应用隐私安全专题

进入移动互联网时代,企业往往存储着大量用户信息资料,《网络安全法》的第二十一条对数据安全作出明确说明:网络运营者应当按照网络安全等级保护制度的要求,防止网络据泄露或者被窃取、篡改。这充分说明了企业数据安全、企业信息安全已经成为关乎国计民生的重要方面。

以下将从信息窃取类恶意应用、移动应用越界获取用户隐私状况等角度,详细阐述2018年一季度移动应用用户隐私信息安全状况。

(一)信息窃取类恶意应用分析

一季度全网共发现信息窃取类恶意应用总计975款,占全网恶意应用的27.73%,这些恶意应用通过某些途径来获取个人信息:包括姓名、生日、身份证、住址、电话号等,隐私政策中使用用户信息,向用户进行恶意广告,侵害用户合法权益。以下将从信息窃取类恶意应用、移动应用越界获取用户隐私状况等角度,详细阐述2018年一季度移动应用用户隐私安全状况。

1.信息窃取类应用行业分布

从行业分布来看,游戏娱乐行业的信息窃取类恶意应用最为集中,占到所有行业的49.46%,行业内如“笑话岛”、“盗墓的空间”、“钻石消消乐”等多款APP存在窃取用户信息、强行捆绑推广应用软件等突出问题。生活服务行业应用信息窃取现象同样严重(占比25.27%),一些网络公司瞄准美团外卖、饿了么等生活服务类应用,专门“扒取”用户订餐信息,打包出售给电话销售公司。

信息窃取类恶意应用行业分布

图4信息窃取类恶意应用行业分布

2.信息窃取类应用市场分布

各大应用市场均有信息窃取类恶意应用踪迹。其中数量最多占比最高的前十个移动应用市场分别是:应用宝(437)款、安智市场(198款)、豌豆荚(143款)等。

信息窃取类恶意应用市场分布TOP10

图5信息窃取类恶意应用市场分布TOP10

3.典型信息窃取类应用案例分析

WiFi解密钥匙 该应用(版本号:2.0)是一款自动获取周边免费Wi-Fi热点信息并建立连接的android手机工具。装机量超过5000万,影响用户范围广泛。

WiFi万能钥匙运行界面截图

图6WiFi万能钥匙运行界面截图

经分析,该应用具有获取用户IMEI、MAC地址、系统版本等信息并发送至远程服务器的行为,造成用户隐私泄露。具体代码分析如下:

1. com.cnzz.mobile.android.sdk.u类的函数String c(boolean)收集多种设备信息,并且调用com.cnzz.mobile.android.sdk.g的函数String a(Context)获取进一步的隐私信息

类com.cnzz.mobile.android.sdk.g,函数String a(Context)

获取设备信息代码截图

图7获取设备信息代码截图

类com.cnzz.mobile.android.sdk.u,函数String c(boolean):

造成隐私泄露代码截图

图8造成隐私泄露代码截图

2.com.cnzz.mobile.android.sdk.u类的另一个函数boolean b(boolean)调用函数String c(boolean),获得隐私数据;再经函数String a(String, boolean)发送至远程服务器。造成了用户数据泄露。

远程发生数据代码截图

图9远程发生数据代码截图

(二)越界获取用户隐私权限状况

随着智能手机的普及,诸多具有形形色色功能的APP在应用商店上架并被下载。不经意间,某些“越界索权”的APP就会侵犯用户的合法权利,甚至造成严重的财产损失。手机应用越界获取用户隐私权限会带来巨大的安全风险隐患,如隐私信息被窃取、用户信息被用于网络诈骗、造成经济损失、手机卡顿现象严重等。

1.越界获取用户隐私权限总体情况

一季度,移动应用越界获取用户隐私权限现象严重,尤其越界读取位置信息现象普遍,数据显示,11.2%的移动应用存在该类行为,移动应用越界获取隐私权限总体情况如下图中所示:

移动应用越界获取隐私权限总体情况

图10 移动应用越界获取隐私权限总体情况

应用权限过多也是移动APP当前普遍现状,一个APP往往会获取近百个权限,而其中大部分都是无必要的权限。数据显示,高达96.6%的Android应用会获取用户手机隐私权,而iOS应用的这一数据也高达69.3%。

UC浏览器的权限列表

图11 UC浏览器的权限列表

2.越界获取用户隐私权限行业分析

行业监测数据显示,目前常用工具类应用获取用户隐私权限现象最为普遍,行业内如号簿助手、微桌面、Hola桌面、追书神器、微锁屏等应用在自身功能不必要的情况下获取用户隐私权限的行为。

 获取用户隐私权限的移动应用行业分布

图12 获取用户隐私权限的移动应用行业分布

治理APP“越界索权”,保护个人信息安全,不能只靠用户个体的“火眼金睛”,更要为APP的权限划定界限,为互联网企业在信息安全管理责任方面划清法律红线。正如业内人士指出,加强监管和执法力度,才是解决此类问题的治本之策。

3.典型越界获取用户隐私权限应用案例分析

QQ飞车攻略 该应用(版本号1.0.0)为一款游戏攻略指南APP。

 “QQ飞车”运行界面

图13 “QQ飞车”运行界面

通过对该应用静态分析发现该应用申请了大量应用权限,不少应用权限涉及用户用户身份信息,甚至支付信息,直接威胁用户的隐私财产安全。

 “QQ飞车”申请权限代码

图14 “QQ飞车”申请权限代码

进一步分析发现,该应用在代码中添加多个第三方插件,为其添加广播服务,同时应用存在监听用户短信内容,拦截回执短信并删除短信会话等恶意行为。

监听短信内容并拦截回执短信代码

图15 监听短信内容并拦截回执短信代码

三、总结

随着云计算、大数据时代的到来,越来越多的企业和机构拥有搜索个人信息的能力,个人信息的使用、交互、跨境传输越发频繁。大型互联网公司、超级APP现在已可被视为基础信息平台,如阿里、百度、腾讯等拥有数亿用户,如何应对黑客攻击、恶意病毒、信息窃取等各类安全问题需要各方力量共同参与,同时,也要有相关的法律条款,对大企业的“霸王条款”、越界获取用户隐私权限行为等进行规制。

《网络安全法》出台到具体落实,目前还有一些配套措施需要完善。2017年,在信息系统安全等级保护定级工作基础上,为了配合《中华人民共和国网络安全法》要求,公安部发布《网络安全等级保护基本要求》(简称等保2.0),以适应移动互联等新技术、新应用情况下网络安全等级保护工作的开展,新标准针对移动互联应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。

《等保2.0》保护对象变化示意图

图16 《等保2.0》保护对象变化示意图

未来,移动产业的发展带来社会巨大变革,移动安全和威胁对抗逐渐进入新的阶段:政府移动办公应用数据将成为恶意软件攻击的重要目标;黑客可能攻破物联网移动应用,获取智能摄像头的控制权及视频数据等,造成隐私数据泄露;进入《等保2.0》时代的企业安全防护将更加主动,尤其人工智能等新技术的应用,将辅助安全专家抹平从“监测到安全威胁”到补救的时间差。

《报告》中所揭示的移动安全现状,将随着不断出现的移动应用场景变得日趋复杂化,作为移动安全领域研究机构,通付盾移动安全实验室愿联合社会各界力量,一齐携手,共同维护移动互联网安全。

*本文作者:通付盾科技payegis