时间:2020-10-1416:30:53
最近,中国移动通信系统与应用安全国家工程实验室(以下简称国家工程实验室),中国信息通信技术研究院安全研究所(以下简称信息通信技术研究所),与北京智友网安科技有限公司(以下简称:爱加密)共同参与,三方共同发布了《国家移动应用风险监测评估报告》(第三版)2020)。
该评估报告包括国家移动应用程序安全概述,应用程序类型的全国分布,金融应用程序分布概述,移动应用程序的个人信息安全案例分析以及第三季度应用程序的监视和评估风险摘要。监控和评估应用程序风险的报告将免费提供给公众,它们为行业用户提供了有关了解行业中应用程序安全性的参考,并为个人用户打开了一个了解当前应用程序安全性热点的窗口。
国家工程实验室,信息与通信技术研究所和AI加密公司将在未来加强合作,并以“国家移动应用程序风险监控与评估”为合作的规范化内容。《风险监控与评估报告》为每季出版。
1.移动应用程序的国家概况根据移动互联网系统与应用安全国家工程实验室(以下简称国家工程实验室),中国信息通信技术研究院安全研究所(以下简称“国家实验室”)。信息通信技术研究所通信技术研究所)和北京智游万安科技有限公司(移动应用大数据平台截至9月底提供的数据包括318万个Android应用程序,其中95%以上具有高风险漏洞),近10%的应用程序恶意行为和31.88%的应用程序为嵌入式Push SDK。
(1)豌豆荚的数量占总数的8.12%。截至本季度,监控中包含的应用程序通道数约为800。应用程序数量的前三列是:豌豆荚,总数708,790个应用中,占渠道总数的8.12%,比第二季度减少0.54%; 360市场,总计639,158个型号,占应用总数的7.33%应用宝,共634734个模型,占应用总数的7.27%;以下渠道排名前十位的应用排名:
图1按渠道划分的TOP10应用排名
(2)高风险漏洞逐渐增多。在此监控过程中,主要分析了10个类别中的94个漏洞,监控显示超过95%的应用程序具有漏洞。具有不同风险级别的漏洞的应用程序的比例如下:
图2具有不同风险级别的漏洞的应用程序比例
大约有318万最新版本的Android应用程序包用于通过移动应用程序安全平台进行风险监控,其中包括大约290万具有漏洞的应用程序,占应用程序总数的99.41%。本季度排名前三的漏洞是:Janus漏洞,Java Code Packer检测和漏洞。关于WebView远程执行代码,请参见下图以了解详细信息:
图3易受攻击的应用程序数量的统计信息
(3)最重要恶意程序的风险描述。本季度添加了新的带有恶意软件的App7123模型,这些恶意程序主要是有害行为,这些恶意程序主要包括移动用户的隐私数据收集,恶意罚款,消耗流量资源,各种恶意行为(例如系统损坏和广告压力)对移动用户财产的个人信息和安全性构成了极大威胁,请参见下图以了解详细信息:
图4恶意软件类型统计表(4)第三方SDK广泛使用,数据安全具有隐患;第三方SDK广泛使用,它们自身在收集和使用个人数据时的安全性和行为也具有隐患。监控发现,截至9月底,有31.88%的应用程序嵌入了推SDK中,共有5,210,88个应用程序,统计SDK中的应用程序占18.91%,共有309,099个应用程序,支付SDK中的应用程序占15.28%249,811个应用程序请参见以下详细信息:
图5不同SDK类型的应用程序分布(5)各个省份加强移动应用程序的情况相似,从增强应用程序的区域分布来看,北京,上海和广州的应用程序提供商具有很强的安全意识,并且增强软件数量最多。
图6巩固前10大应用省份
据统计,安全加固应用覆盖36个省,其中安全加固应用数量排名前三位的是:北京,占总数的28.37%,总数为74,695。广东省占23.60%,应用程序62115个;上海占6.57%,应用程序17293个,以下是前十名:
图7在各省考虑之前,钢筋应用的数量非常分散
北京是整合应用程序数量最多的省份,占28.37%;相反,香港和澳门是扩增程序数量最少的省份,详细信息如下:
图8:增强应用程序的数量位于排名的末尾
2.应用程序类型在国家中的分布(1)实用程序类别在所有市场应用程序中排名第一。从按功能分类的应用程序应用程序的国家细分来看,实用程序类别应用程序在顶部排名第一。3实用应用程序占市场应用程序的15.42%,总计1,298,772,办公学习应用程序占市场应用程序的11.19%,总计942,563型号,休闲益智应用程序占市场应用程序的8.62%,总计726,170。应用程序在不同细分市场中所占的比例如下:
图9不同细分市场中排名前10位的应用程序的数量和比例
(2)在信息阅读,财务管理,在线购物,系统工具和音视频播放行业中,其他类型的应用程序分布在第4至第10位,总数在41%以下,其中包括620522种信息阅读应用程序占总数的7.37%,603,009个理财应用占总数的7.16%,484,582个在线购物应用,占总数的5.75%,详情请参见下图:
图10其他功能类型的应用程序数
3.金融应用分布概述(1)超过30%的应用分布在华东地区。金融应用遍布全国。可以识别区域分布规则的模型有30179种。以下区域分布仅基于分析在这30,179个模型中从区域角度来看,华南地区的应用程序产量排名第一,占总应用程序的31.53%,其次是华中地区,占总应用程序的24.22%,华北地区占总应用程序的20.78%,请参见下表:
图11应用程序区域分布图
(2)广东省应用软件数量以31.34%居全国首位,在省一级,广东省金融应用软件数量占全国的31.34%,湖北省金融应用软件数量则占全国的31.34%。31.34%,占全国总数的18.95%,排名第二,北京的金融应用程序占全国总数的9.05%,排名第三,以下是TOP10的排名:
图12按金融应用程序数量划分的区域TOP10
4.本季度的增量情况(1)Android应用程序的数量比7月份增长了许多倍。本季度的Android应用程序的数量为151,970。按月计算,Android应用程序数量的增长速度最快在本季度的7月份的两个月中,增长了156.35%,但在8月份总共增加了66,071个新应用,比前一个月减少了23.08%。有关详细信息,请参见下图:
图13每月增长率图
(2)应用监控渠道增量情况1. 7月份应用监控渠道快速增长
本季度,面向应用程序监视的新通道的趋势相对平稳:共有35个新的应用程序通道,7月的21个新通道和8月的14个新通道。有关详细信息,请参见下图:
图14新渠道2。本季度教育增幅最大
从应用行业的角度来看,教育仍是新申请的主要类别,占新用途的33.83%,在医学和卫生领域的新用途数量排名第二,占新用途的17.08%。3,占新增应用的15.74%,更多信息请参考下图:图16 10个最重要的新应用领域的分布情况V.移动应用中个人数据安全的案例分析4月27日,中国国家网络空间管理局和发改委等12个部门联合发布了《网络安全验证》。措施”,于今年6月1日启动。网络安全审查的重点是评估关键信息基础架构运营商在网络产品和服务的采购中可能存在的国家安全风险,包括对关键信息基础架构的非法控制,破坏或破坏。产品和服务以及关键数据的使用所导致的后果,被盗,泄漏或破坏的风险,产品和服务的供应中断会影响关键信息基础架构的业务连续性等。
(1)某款特定的金融应用取消了服务器会话数据,技术员测试用户退出客户端应用后,要求服务器删除在线令牌等信息,发现服务器未删除详细信息如下:
用户成功登录后,单击客户端应用程序软件设置界面中的“注销”或“注销”按钮。此时,将捕获客户端应用程序的网络请求,并进行检查以查看是否提示服务器注销并清除用户的在线状态。
取消帐户后,仍然可以正常访问数据,这表明服务器尚未清除用户的在线状态。
维修建议:
当用户单击本地界面上的“注销”时,应用程序客户端应向服务器发送请求以注销用户的登录状态,以删除并防止服务器的令牌和cookie窃取用户身份。
(2)金融应用程序的验证码可以规避漏洞,当技术人员反编译某个特定应用程序时,发现该应用程序可以绕过验证码验证并直接更改手机号码,具体如下:
测试后,要更改手机号码,您需要先检查原始手机,然后设置新手机号码,并在第一步中获得检查当前手机号码的数据包。
截获第一步请求验证码的返回数据包并处理状态码,这表示验证正确。
应用程序界面绕过了确认代码的验证,并跳转到用于绑定新手机的界面:
(3)传输过程中的数据以纯文本形式传输,一旦检测到,确定在应用与服务器交互过程中,登录,注册,付款,取回密码,重置密码等敏感信息如果客户端没有对本地连接的SSL证书信息进行验证,即使使用HTTPS加密协议,也将不可避免地对其进行收集和分析,从而损害了企业层的安全性。详情如下:
在越狱的手机中打开SSLKillSwitch2插件:
使用Fiddler在应用程序的网络接口上捕获数据包6。第三季度应用程序风险监视和评估摘要(1)注意应用程序漏洞的危险并提高风险预防的意识。应用程序漏洞监视数据显示,超过95%的受监视应用程序具有高风险漏洞,会造成不同程度的危害对用户的行为。在2020年上半年观察到的攻击中,80%的攻击使用了2017年及之前报告和注册的“旧漏洞”,而超过20%的攻击使用了至少7年且最高的漏洞允许攻击者绕过Android系统的签名方案V1签名机制并直接操纵APP。由于Android系统的其他安全机制也基于签名和验证,因此此安全漏洞对应于攻击者可以绕过Android系统的整个安全机制。攻击者可以在正常应用程序中植入恶意代码,以下载和更新原始APP。甚至可以远程控制。(2)各方越来越重视隐私保护,作为应用程序运营商,规范应用程序对个人数据安全的保护不仅仅是监管机构的责任,它涉及多个主题,并要求政府部门,应用程序公司,SDK公司,移动电话公司,应用程序商店公司,行业协会和研究机构共同合作,共同创造良好的生态环境和强大的协同效应,以保护个人信息-同时作为一家应用程序开发和运营公司,公司是维护网络安全的主体,为了实现某些功能,必须平衡并记录个人信息的收集,在实现相关功能后,公司必须保护个人数据应该是核心竞争力。
最近,由于流行病等因素,应用程序大量增加,与此同时,使用应用程序引起的问题也逐渐增加。作为应用程序运营商,您应该举例说明自己的原则并付费在操作过程中及以后注意应用程序的维护。更新;其次,在提高运营商安全意识的同时,应建立相关的安全机制,对应用程序的安全性采取保护措施,及时修补安全漏洞,并且应用程序不会由于漏洞而受到恶意程序的感染。
(3)网络安全与支持安全技术和产业密不可分。没有网络安全,就不会有国家安全,就不会有稳定的经济和社会运行,也就无法保证广大人民的利益。目前,各种形式的网络攻击,非法干扰,恶意代码和安全漏洞不断涌现,严重危害着关键信息基础架构的安全,数据安全和个人信息的安全。网络安全的实质是技术对抗,确保网络安全与网络安全技术和行业的强大支持密不可分。
原始链接:https://www.anquanke.com/post/id/219502