前言

　　2017年是值得載入史冊的一年，是Android系統公布和首代iPhone問世后的首個10年。十年間，手機應用百花齊放，用戶使用習慣基本形成，移動互聯網快速成長并強力助推了全球的經濟發展。這是從激烈變革到穩定的一年。

　　伴隨著移動互聯網飛速發展的，還有日漸復雜的移動安全形勢。當民眾還聚焦于移動互聯網帶來的經濟發展和產業變革時，黑客與地下黑產鏈涌動的暗流已異常洶涌。但大部分手機用戶對此毫無感知。

　　因攻擊工具獲取難度和攻擊門檻的大幅降低，各類網絡攻擊帶來的危害急劇上升。移動安全威脅已不容忽視，移動互聯網已成為國家信息安全領域的重點關注對象。

　　借國家在2017年正式落地《中華人民共和國網絡安全法》與推進等保2.0的契機，藍盾在2018年開年之初對過去一年的移動應用形勢進行系統的分析總結，希望以綿薄之力推進我國移動互聯網信息安全的建設與發展。

　　一、移動互聯網安全現狀

　　1、移動互聯網用戶群體已趨穩定

　　據工信部《2017年11月份通信業經濟運行情況》顯示，截止到2017年11月底，我國移動互聯網用戶總數達12.5億，其中手機上網用戶達到11.6億。用戶數量雖仍在增加，但增速已然放緩，依靠設備暴增帶來的紅利已經消失。

　　另一方面，手機上網對移動電話用戶的滲透也開始穩定，老用戶智能手機的升級量達到飽和狀態，移動互聯網的用戶群體已基本穩定。

　　2、移動APP市場成熟 威脅與發展共生

　　在移動互聯網快速成長期間，移動APP也得到較大發展。據工信部《2017年11月互聯網和相關服務業報告》顯示，截止11月底，我國本土第三方應用商店移動應用數量超過224萬款;蘋果商店中國區移動應用數量超過178萬款;第三方應用商店分發數量超過8700億次。

　　從用戶使用方面看，應用安裝量也歸于穩定。截至到2017年9月，我國平均手機安裝應用數超110款，增長率亦趨平穩。在此期間，用戶對移動APP的依賴在不斷深化。

　　隨著移動網民的不斷增加，移動化生活成為主流并逐步滲透到大眾的消費、出行、娛樂等方方面面，移動APP得到全面發展。但與此同時，在功能上得到最大化開發的移動應用，因防護空白開始面臨接踵而來的安全問題。安全威脅已成為制約APP發展的主要因素。

　　二、移動APP安全挑戰

　　1、病毒攻擊頻繁

　　在國家語言資源監測與研究中心發布的“2017年度中國媒體十大新詞語”中，“勒索病毒”作為與“安全”相關的唯一關鍵詞上榜。

　　自5月份“永恒之藍”在全球引發安全恐慌開始，勒索病毒在2017全面入侵，移動互聯網也無法幸免，并逐漸演變為主戰場。據國家互聯網應急中心報告，僅2017年10月30日到11月5日幾天之間就發現15個安卓鎖屏勒索類的惡意程序變種。

　　移動端勒索病毒以惡意鎖屏、綁架文件資料勒索用戶付費解鎖，對移動用戶的正常手機使用造成較大沖擊，影響十分惡劣。

　　2、安全漏洞屢現

　　相比病毒入侵、黑客攻擊的高頻率、多形式，移動端APP則是“漏洞百出”。

　　目前移動APP普遍存在有安全漏洞，其中不乏中高危漏洞。據藍盾最新統計，僅有1%的APP不存在高危漏洞;3.6%的移動APP不存在中危漏洞。反之，存在有5到8個的中危漏洞的移動APP已超過一半(67.4%)，37%的移動APP有10個左右(9-12)的高危漏洞，安全現狀十分嚴峻。

　　3、移動開發者的安全防護意識仍處于萌芽階段

　　“加固”是移動APP的一道重要屏障。應用加固可在一定程度上保護開發者的核心代碼算法，提高破解、盜版、二次打包的難度，有效緩解代碼注入、動態調試、內存注入等攻擊。

　　但根據藍盾對國內某重要應用市場下載量前2萬款應用的檢測，發現僅有31.85%的應用采取了基本的應用安全加固措施，應用的安全防護并未引起開發者的足夠重視。

　　值得一提的是，藍盾在對收集到的惡意軟件樣本的分析中發現，部分惡意軟件使用了應用加固技術。相較于開發者對安全加固的普遍無視，部分病毒開發者卻使用了安全加固技術，這種變化值得業界重視。

　　4、APP安全受限手機系統安全

　　手機的系統版本與安全補丁的更新情況決定了手機的移動安全防護水平的底線。手機系統與安全補丁的更新在一定程度上體現了手機廠商對安全的態度。

　　藍盾通過對國內部分手機品牌系統更新的歷史數據進行分析后發現，目前大部分手機在發布時使用的系統并非最新安卓系統，且大部分手機的系統更新持續時間是在自發布之日起的2年內。這意味著用戶使用一臺手機超過2年就有較大可能無法獲得升級，已知的系統隱患也未能得到修復，安全威脅倍增。

　　該問題目前已引起行業重視。據藍盾統計，自2015年起，越來越多的手機在發布時就采用了最新的安卓系統，并內置有相關的安全功能，手機出廠安全防護前景值得期待。

　　新設備新系統的安全系數開始上升固然令人欣喜，但仍須注意的是，舊機的安全威脅仍然存在。據友盟、百度等第三方統計平臺的數據顯示，目前移動互聯網上活躍的設備中，系統版本低于6.0的仍高達53.72%，整體安全情況并不樂觀。

　　三、APP安全變化及趨勢

　　1、APP竊取用戶隱私成為常態

　　用戶數據在黑客眼中是“香餑餑”，對于移動廠而言亦是如此，許多移動APP存在主動收集用戶數據的行為。2017年7月下旬，中央網信辦等四部委對國內1500多個網站和APP的隱私政策進行測評。檢測報告中沒有一個APP達到“高”評級，而透明度在“較低”和“低”的平臺和APP卻超過總數的80%。

　　其中大量應用存在越界獲取隱私權限的問題。越界獲取隱私權限是指手機應用獲取與自身功能無關的用戶隱私權限的行為，給用戶帶來極大的安全隱患。如部分APP越界訪問手機短信、記事本等應用，可查看用戶的銀行卡賬號密碼等重要信息，危及用戶財產安全;而用戶被竊取的個人身份信息、照片等隱私，則極易被隱私售賣等網絡信息黑產所利用，加劇網絡詐騙。

　　APP廠商監守自盜的行為，在傷害用戶隱私權的同時，也給黑客留下了攻擊的“后門”，后患無窮。

　　2、惡意應用攻陷全球最大應用商店

　　移動應用從開發者到用戶手機，應用市場無疑是最好的渠道。目前國內外大多數應用市場會對應用進行安全檢測，一定程度上保證了應用安全。但在2017年，全球最大應用商店Google Play多次出現惡意應用繞過安全審查成功上架的情況，引發業界擔憂。

　　據谷歌統計，僅攜帶Xavier木馬病毒的應用數量已經超過800款，其中部分應用在Google Play上的下載量已經超過數百萬次。對普通用戶而言，單純依賴應用市場自身的安全機制解決移動應用安全問題的方式已不再可靠。

　　藍盾通過對國內某重要移動應用市場的排查發現，即便有相應的應用審核機制，應用市場的APP仍存在大量漏洞，其中不乏危及用戶財產及隱私安全的高危漏洞：

　　目前國內許多第三方庫的開發者安全意識不足，第三方庫本身存在各種各樣的安全隱患，進而導致用戶下載使用庫內APP后，安全漏洞即便被發現也無法修復，造成的影響更大。

　　3、黑客攻擊越發重視經濟收益

　　據美國安全公司 Carbon Black發布的最新勒索軟件調查報告顯示，與2016年相比，2017年暗網經濟中勒索軟件的市場規模猛增2502%，且已逐步往移動設備滲透。

　　通過這種變化我們不難看出，黑客攻擊目的已經從技術竊取轉為金錢勒索，對攻擊行為短期變現要求較高。由于攻擊門檻低、風險低、回報高，移動APP吸引了越來越多的黑客的注意。

　　相較安全防護已普及多年的PC端，移動安全防護是一個嶄新的命題，開發者與用戶的移動安全意識普遍處于萌芽階段。因此，針對移動應用的網絡攻擊帶來的危害往往更為隱蔽而巨大。

　　4、攻擊方式多變，新型攻擊叢生

　　2017年的網絡攻擊，除了勒索病毒的出現，黑客的攻擊手段也推陳出新。

　　①新目標：小程序成最新攻擊對象

　　2017年初發布的小程序在年末開始發力，頭腦王者、跳一跳等多個小程序相繼走紅，獲得大量微信用戶的熱捧。但同時，小程序的走紅也為黑客們提供了新的攻擊平臺，各類小程序外掛泛濫。

　　小程序開發門檻較低，安全防護又未能及時跟上，面對攻擊時小程序往往不堪一擊。目前微信小程序安全防護的重要性和迫切性未引起開發者的關注，另一方面，基于微信的小程序備受信賴，用戶防護意識嚴重不足，危險系數急劇上升。

　　②新形式：惡意APP利用手機挖礦

　　2017年，以比特幣為首的電子貨幣余熱未退，仍有大量民眾趨之若鶩。獲取比特幣需通過設備運行特定算法，為挖到更多的“礦”，部分不法分子打起了移動設備的主意，通過CoinKrypt、Loapi等木馬入侵用戶手機，組建僵尸網絡挖礦。

　　此類攻擊綁架用戶手機，極易導致隱私泄露。而挖礦(執行算法)過程中電量消耗嚴重，縮短了電池使用壽命，甚至有可能導致電池鼓脹，發生爆炸。

　　③新方式：Xcode Ghost在源頭植入病毒

　　Xcode Ghost病毒利用開發者不規范的行為，直接在開發軟件內植入病毒，實現了在源頭感染應用。

　　Xcode Ghost帶來的影響除了我們表面所看到的iOS部分應用被掛馬與Unity3D被投毒，更重要的是黑客已經開始嘗試將攻擊矛頭瞄準開發者。在開發者安全意識普遍較弱的情況下，這一新式攻擊手法帶來的危害極大。

　　四、移動安全機遇與挑戰并存

　　目前，移動互聯網已得到徹底普及。面對移動設備、移動APP存在的眾多安全隱患，國家政府與企業已經開始意識到問題的嚴重性，各方面的應對之策相應出臺。

　　1、《網絡安全法》保護個人隱私，等保2.0首提移動互聯等級保護要求

　　2017年6月，《中華人民共和國網絡安全法》(下稱《網絡安全法》)正式實施，移動互聯網安全保護有法可依。

　　一方面，《網絡安全法》對用戶個人信息保護做出了明確規定。如非法獲取出售公民個人隱私信息超50條將入罪，企業應確保個人信息安全，若發生信息泄露、毀損、丟失的情況時應及時補救并告知用戶、報告有關主管部門等。

　　《網絡安全法》定義了我國用戶隱私權益邊界，在法律層面確定了運營方保護用戶信息的責任，對限制運營方的用戶信息收集行為、打擊信息買賣等非法行為都具有重要意義。

　　另一方面，借國家立法契機，等保2.0中正式提出了移動APP等級保護的要求。

　　等級保護是指國家依據信息及信息載體重要性進行的分級保護。2017年確立的等保2.0首度明確移動APP的安全要求，涉及“移動應用管控”、“移動應用軟件采購”、“移動應用軟件開發”等多個方面。此舉表明移動APP的安全保護已得到國家層面的重視和支持。

　　2、企業重視安全 加大防護投入

　　2017年全球企業全面加大網絡安全方面的投入。根據Gartner最新報告顯示，在2017年，全球網絡安全的支出額為890億美元;到2018年，這個數字預計將達到960億美元。

　　根據普華永道《2018全球信息安全狀況調查》顯示，2017年中國內地與香港企業在網絡安全方面的平均投入比全球數值高出近四分之一(23.5%)，受訪企業的平均預算達630萬美元。

　　其中，46%的中國內地與香港受訪企業將移動設備列為信息安全事件的攻擊目標，予以重視。

　　3、移動安全進入AI時代 AI攻防戰拉開序幕

　　2017年是人工智能的元年，很多領域都開始采用了人工智能技術。而移動安全防護技術也從傳統的動靜態防護識別，向基于大數據、深度機器學習、人工智能等方向轉變，大數據、AI機器學習、態勢感知等前沿技術開始正式應用于移動安全防護領域。

　　AI時代的移動安全防護已不再是僅限于APP的點式防護，而是擴展到通過AI與大數據作為后勤保障，以移動應用和移動設備作為能力支點，以用戶為核心，云、端結合的立體防護體系。

　　4、用戶隱私意識開始覺醒

　　用戶隱私安全開始引起廣泛關注，媒體、民眾對個人隱私的重視程度明顯加強。在2017年爆發的多起用戶隱私被泄露及售賣的事件中，民眾從開始的關注逐步演變成擔憂：2017年初，央視曝光個人信息遭泄露及網上販賣的新聞，掀起了廣大市民對個人隱私安全的擔憂;4月，外媒曝光上億優酷用戶信息數據在暗網被售賣，無孔不入的個人信息泄露及售賣引起用戶關注;6月，順豐與菜鳥針對用戶物流數據展開爭奪，企業數據爭奪加劇用戶對個人隱私的擔憂。

　　在接踵而來的隱私泄露事件中，用戶對個人隱私安全的擔憂持續攀升。部分用戶開始嘗試主動了解并反擊：2017年12月，一篇標題為《一位92年女生致周鴻祎：別再盯著我們看了》的文章在網上熱傳，360旗下水滴直播平臺被指侵犯公眾隱私，水滴直播平臺之后宣布永久關閉;2018年伊始，網友曝光支付寶年度賬單授權“被同意”，支付寶隨后緊急致歉，螞蟻金服也因此被網信辦約談;春節搶票期間，用戶質疑12306手機客戶端越界獲取隱私權限，引發業界關注。

　　以上事件皆為用戶曝光，我們欣喜地看到越來越多的質疑之聲是從用戶口中發出。用戶隱私意識開始覺醒，對移動互聯網環境中個人隱私安全有了更多考慮。

　　對于企業而言，如何滿足民眾對隱私安全日益提高的要求，調整規范自身產品及服務行為，將是2018年不得不思考的一個問題。

　　完整版PDF鏈接：http://www.bluedon.com/uploadfiles/file/20180130/20180130190924_7160.pdf

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。