2017移动App安全漏洞与数据泄露现状报告发布

专题库
来源:FreebuF.COM 2017-06-23 09:18:08 移动安全 信息安全

核心提示与许多技术由上至下,从企业到消费市场的发展方式不同,移动技术始于消费用户领域。这就一定程度意味着移动设备和软件前期对于安全的不重视,安全在移动领域的起步相较桌面和其他传统领域也明显更晚。

  近10年来,移动设备在消费领域乃至此后企业领域的扩展,从速度和数量来看都是相当惊人的。早在2014年,ANDREESSEN HOROWITZ分析师Benedict Evans就说:“移动正在啃噬这个世界(Mobile is Eating the World)。”这从来就不是夸张,全球范围内移动设备的数量早就在多年前超越了世界人口总和。从2007年苹果推出初代iPhone革新智能手机至今短短10年,移动行业的市场规模都在急速增长。

  Statista的数据显示,2016年全球范围内智能手机的出货量约在15亿台左右,预计到2020年这个数字会增加到17.1亿;到2018年,全球手机用户总数将达到25.3亿人次——其中1/4都来自中国。仅2016年中国智能手机市场规模都已经超过1335亿美元。

  与许多技术由上至下,从企业到消费市场的发展方式不同,移动技术始于消费用户领域。这就一定程度意味着移动设备和软件前期对于安全的不重视,安全在移动领域的起步相较桌面和其他传统领域也明显更晚。

  FreeBuf研究院在中国泰尔实验室的指导下,辅以漏洞盒子、启明星辰和中国信息通信研究院安全研究所的数据与内容支持,从第三方移动App安全及信息泄露的角度共同撰写了这份《2017年度移动App安全漏洞与数据泄露现状报告》。

  在数据研究和分析过程中,我们选择了金融、购物、医疗、社交、游戏、娱乐、交通与出行、生活服务等八个分类的892款Android平台的流行App作为样本,借由启明星辰的应用自动化安全测试平台,来发现移动App存在安全风险与漏洞。与此同时,我们以企业组织的移动App开发者、项目管理人员和安全专家为对象,下发近200份问卷,尝试解读造成移动App安全漏洞和问题的根源——企业对象涵盖大中小不同规模;另外也针对移动App普通用户下发近300份问卷,了解应用安全在普通用户中的需求和位置。

  这份报告旨在从移动App安全漏洞和数据泄露的角度来窥见移动App的安全现状,以及移动领域的开发者和安全专家在App安全开发方面的不足,并期望以此帮助开发者和安全专家,以及项目管理人员在进行相关App安全决策时给出参考和指引。

  值得一提的是,虽然这份报告并不专注于企业级App的安全问题可能对企业安全造成的危害,而更多将注意力集中在消费类移动App的漏洞、数据泄露、仿冒等安全风险的层面,但BYOD工作方式也能够让这类移动App对企业安全造成影响;且报告对于企业级App开发亦有一定的参考价值。

  在《中华人民共和国网络安全法》于6月1日起开始施行的当下,相关移动App开发与安全的企业组织有义务“防止网络数据泄露或被窃取、篡改”。无论从安全问题造成的用户和企业直接损失,挽救企业信誉的角度,还是按照相应规范进行App开发、遵守《网络安全法》的角度来看,移动App漏洞、数据泄露和其他安全问题都应该成为企业组织、开发者和安全专家重视的问题。

  报告Key Findings

  • 过往10年移动App在数量和规模上的爆发,为攻防双方开辟了新战场;

  • 移动App更出色的安全性可以成为吸引和留住用户的差异化竞争要素;

  • 用户对于移动App安全普遍更为乐观,而开发者则恰好相反;

  • 65%接受测试的移动App至少存在1个高危漏洞,平均每个App就有7.32个漏洞;

  • 娱乐类移动App成安全漏洞重灾区,每10个娱乐类移动App就有9个至少包含一个高危漏洞;

  • 社交类App被仿冒的几率相较其它类别平均高出10倍以上,仅社交类App被仿冒占比达到测试中所有仿冒移动App的近六成;

  • 多达88%的金融类App都存在内存敏感数据泄露问题;

  • 移动App安全问题的主要原因在于开发和安全的分化:69%的开发者认为安全是其他人的工作;

  • 在开发者看来,强制合规仍是移动App安全的最大驱动力,这或为造成当前移动App安全问题的一大原因。

  2007年Android系统出现至今,移动App安全走过了几个时代。2012-2014年间,安全加固服务开始崭露头角。不过彼时的安全加固只解决了客户端和代码安全问题,对隐私、业务、通信安全而言并没有很大的帮助;到2015年开始有了移动App安全检测服务,这个阶段的安全加固引入了自动化审计,对通信安全有了一定的帮助,但隐私安全和业务安全也依旧是问题。

  就安全部分,移动App安全加固现如今的发展阶段引入了“安全生态链”,所以顺势出现了融入到整个App开发上线周期链中的全套安全服务。这个生态链包含了安全SDK组件、安全编译器、安全检测与风险评估、安全加固、渠道检测和智能云更新。该生态链对行业而言是有价值的。如报告中提到的内存敏感数据即贯穿移动应用产品的整个生命周期,仅仅采取单一的App加固解决方案并不能完全杜绝敏感信息泄露问题。

  这个“生态链”的本质在于将安全融入到开发周期中,试图解决开发和安全分割的现状。不过,这仍是需要开发团队或项目管理人员,以及配套的安全专家真正建立起足够的安全意识并跨出一步,做出配合方能见效的。

  本次报告从移动App安全漏洞、App仿冒、数据泄露等安全问题入手,以统计和测试数据为依托,对这些安全问题的现状进行解读和分析,期望从Android平台移动消费类App客户端安全问题的角度,对移动安全进行管中窥豹,并让所有读者了解移动App安全问题的紧迫性。

责任编辑:韩希宇

为你推荐

    暂无相关推荐
    合作媒体

    中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网

    微信

    QQ

    微博