前言

　　2017年是值得載入史冊(cè)的一年，是Android系統(tǒng)公布和首代iPhone問世后的首個(gè)10年。十年間，手機(jī)應(yīng)用百花齊放，用戶使用習(xí)慣基本形成，移動(dòng)互聯(lián)網(wǎng)快速成長并強(qiáng)力助推了全球的經(jīng)濟(jì)發(fā)展。這是從激烈變革到穩(wěn)定的一年。

　　伴隨著移動(dòng)互聯(lián)網(wǎng)飛速發(fā)展的，還有日漸復(fù)雜的移動(dòng)安全形勢(shì)。當(dāng)民眾還聚焦于移動(dòng)互聯(lián)網(wǎng)帶來的經(jīng)濟(jì)發(fā)展和產(chǎn)業(yè)變革時(shí)，黑客與地下黑產(chǎn)鏈涌動(dòng)的暗流已異常洶涌。但大部分手機(jī)用戶對(duì)此毫無感知。

　　因攻擊工具獲取難度和攻擊門檻的大幅降低，各類網(wǎng)絡(luò)攻擊帶來的危害急劇上升。移動(dòng)安全威脅已不容忽視，移動(dòng)互聯(lián)網(wǎng)已成為國家信息安全領(lǐng)域的重點(diǎn)關(guān)注對(duì)象。

　　借國家在2017年正式落地《中華人民共和國網(wǎng)絡(luò)安全法》與推進(jìn)等保2.0的契機(jī)，藍(lán)盾在2018年開年之初對(duì)過去一年的移動(dòng)應(yīng)用形勢(shì)進(jìn)行系統(tǒng)的分析總結(jié)，希望以綿薄之力推進(jìn)我國移動(dòng)互聯(lián)網(wǎng)信息安全的建設(shè)與發(fā)展。

　　一、移動(dòng)互聯(lián)網(wǎng)安全現(xiàn)狀

　　1、移動(dòng)互聯(lián)網(wǎng)用戶群體已趨穩(wěn)定

　　據(jù)工信部《2017年11月份通信業(yè)經(jīng)濟(jì)運(yùn)行情況》顯示，截止到2017年11月底，我國移動(dòng)互聯(lián)網(wǎng)用戶總數(shù)達(dá)12.5億，其中手機(jī)上網(wǎng)用戶達(dá)到11.6億。用戶數(shù)量雖仍在增加，但增速已然放緩，依靠設(shè)備暴增帶來的紅利已經(jīng)消失。

　　另一方面，手機(jī)上網(wǎng)對(duì)移動(dòng)電話用戶的滲透也開始穩(wěn)定，老用戶智能手機(jī)的升級(jí)量達(dá)到飽和狀態(tài)，移動(dòng)互聯(lián)網(wǎng)的用戶群體已基本穩(wěn)定。

　　2、移動(dòng)APP市場(chǎng)成熟 威脅與發(fā)展共生

　　在移動(dòng)互聯(lián)網(wǎng)快速成長期間，移動(dòng)APP也得到較大發(fā)展。據(jù)工信部《2017年11月互聯(lián)網(wǎng)和相關(guān)服務(wù)業(yè)報(bào)告》顯示，截止11月底，我國本土第三方應(yīng)用商店移動(dòng)應(yīng)用數(shù)量超過224萬款;蘋果商店中國區(qū)移動(dòng)應(yīng)用數(shù)量超過178萬款;第三方應(yīng)用商店分發(fā)數(shù)量超過8700億次。

　　從用戶使用方面看，應(yīng)用安裝量也歸于穩(wěn)定。截至到2017年9月，我國平均手機(jī)安裝應(yīng)用數(shù)超110款，增長率亦趨平穩(wěn)。在此期間，用戶對(duì)移動(dòng)APP的依賴在不斷深化。

　　隨著移動(dòng)網(wǎng)民的不斷增加，移動(dòng)化生活成為主流并逐步滲透到大眾的消費(fèi)、出行、娛樂等方方面面，移動(dòng)APP得到全面發(fā)展。但與此同時(shí)，在功能上得到最大化開發(fā)的移動(dòng)應(yīng)用，因防護(hù)空白開始面臨接踵而來的安全問題。安全威脅已成為制約APP發(fā)展的主要因素。

　　二、移動(dòng)APP安全挑戰(zhàn)

　　1、病毒攻擊頻繁

　　在國家語言資源監(jiān)測(cè)與研究中心發(fā)布的“2017年度中國媒體十大新詞語”中，“勒索病毒”作為與“安全”相關(guān)的唯一關(guān)鍵詞上榜。

　　自5月份“永恒之藍(lán)”在全球引發(fā)安全恐慌開始，勒索病毒在2017全面入侵，移動(dòng)互聯(lián)網(wǎng)也無法幸免，并逐漸演變?yōu)橹鲬?zhàn)場(chǎng)。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心報(bào)告，僅2017年10月30日到11月5日幾天之間就發(fā)現(xiàn)15個(gè)安卓鎖屏勒索類的惡意程序變種。

　　移動(dòng)端勒索病毒以惡意鎖屏、綁架文件資料勒索用戶付費(fèi)解鎖，對(duì)移動(dòng)用戶的正常手機(jī)使用造成較大沖擊，影響十分惡劣。

　　2、安全漏洞屢現(xiàn)

　　相比病毒入侵、黑客攻擊的高頻率、多形式，移動(dòng)端APP則是“漏洞百出”。

　　目前移動(dòng)APP普遍存在有安全漏洞，其中不乏中高危漏洞。據(jù)藍(lán)盾最新統(tǒng)計(jì)，僅有1%的APP不存在高危漏洞;3.6%的移動(dòng)APP不存在中危漏洞。反之，存在有5到8個(gè)的中危漏洞的移動(dòng)APP已超過一半(67.4%)，37%的移動(dòng)APP有10個(gè)左右(9-12)的高危漏洞，安全現(xiàn)狀十分嚴(yán)峻。

　　3、移動(dòng)開發(fā)者的安全防護(hù)意識(shí)仍處于萌芽階段

　　“加固”是移動(dòng)APP的一道重要屏障。應(yīng)用加固可在一定程度上保護(hù)開發(fā)者的核心代碼算法，提高破解、盜版、二次打包的難度，有效緩解代碼注入、動(dòng)態(tài)調(diào)試、內(nèi)存注入等攻擊。

　　但根據(jù)藍(lán)盾對(duì)國內(nèi)某重要應(yīng)用市場(chǎng)下載量前2萬款應(yīng)用的檢測(cè)，發(fā)現(xiàn)僅有31.85%的應(yīng)用采取了基本的應(yīng)用安全加固措施，應(yīng)用的安全防護(hù)并未引起開發(fā)者的足夠重視。

　　值得一提的是，藍(lán)盾在對(duì)收集到的惡意軟件樣本的分析中發(fā)現(xiàn)，部分惡意軟件使用了應(yīng)用加固技術(shù)。相較于開發(fā)者對(duì)安全加固的普遍無視，部分病毒開發(fā)者卻使用了安全加固技術(shù)，這種變化值得業(yè)界重視。

　　4、APP安全受限手機(jī)系統(tǒng)安全

　　手機(jī)的系統(tǒng)版本與安全補(bǔ)丁的更新情況決定了手機(jī)的移動(dòng)安全防護(hù)水平的底線。手機(jī)系統(tǒng)與安全補(bǔ)丁的更新在一定程度上體現(xiàn)了手機(jī)廠商對(duì)安全的態(tài)度。

　　藍(lán)盾通過對(duì)國內(nèi)部分手機(jī)品牌系統(tǒng)更新的歷史數(shù)據(jù)進(jìn)行分析后發(fā)現(xiàn)，目前大部分手機(jī)在發(fā)布時(shí)使用的系統(tǒng)并非最新安卓系統(tǒng)，且大部分手機(jī)的系統(tǒng)更新持續(xù)時(shí)間是在自發(fā)布之日起的2年內(nèi)。這意味著用戶使用一臺(tái)手機(jī)超過2年就有較大可能無法獲得升級(jí)，已知的系統(tǒng)隱患也未能得到修復(fù)，安全威脅倍增。

　　該問題目前已引起行業(yè)重視。據(jù)藍(lán)盾統(tǒng)計(jì)，自2015年起，越來越多的手機(jī)在發(fā)布時(shí)就采用了最新的安卓系統(tǒng)，并內(nèi)置有相關(guān)的安全功能，手機(jī)出廠安全防護(hù)前景值得期待。

　　新設(shè)備新系統(tǒng)的安全系數(shù)開始上升固然令人欣喜，但仍須注意的是，舊機(jī)的安全威脅仍然存在。據(jù)友盟、百度等第三方統(tǒng)計(jì)平臺(tái)的數(shù)據(jù)顯示，目前移動(dòng)互聯(lián)網(wǎng)上活躍的設(shè)備中，系統(tǒng)版本低于6.0的仍高達(dá)53.72%，整體安全情況并不樂觀。

　　三、APP安全變化及趨勢(shì)

　　1、APP竊取用戶隱私成為常態(tài)

　　用戶數(shù)據(jù)在黑客眼中是“香餑餑”，對(duì)于移動(dòng)廠而言亦是如此，許多移動(dòng)APP存在主動(dòng)收集用戶數(shù)據(jù)的行為。2017年7月下旬，中央網(wǎng)信辦等四部委對(duì)國內(nèi)1500多個(gè)網(wǎng)站和APP的隱私政策進(jìn)行測(cè)評(píng)。檢測(cè)報(bào)告中沒有一個(gè)APP達(dá)到“高”評(píng)級(jí)，而透明度在“較低”和“低”的平臺(tái)和APP卻超過總數(shù)的80%。

　　其中大量應(yīng)用存在越界獲取隱私權(quán)限的問題。越界獲取隱私權(quán)限是指手機(jī)應(yīng)用獲取與自身功能無關(guān)的用戶隱私權(quán)限的行為，給用戶帶來極大的安全隱患。如部分APP越界訪問手機(jī)短信、記事本等應(yīng)用，可查看用戶的銀行卡賬號(hào)密碼等重要信息，危及用戶財(cái)產(chǎn)安全;而用戶被竊取的個(gè)人身份信息、照片等隱私，則極易被隱私售賣等網(wǎng)絡(luò)信息黑產(chǎn)所利用，加劇網(wǎng)絡(luò)詐騙。

　　APP廠商監(jiān)守自盜的行為，在傷害用戶隱私權(quán)的同時(shí)，也給黑客留下了攻擊的“后門”，后患無窮。

　　2、惡意應(yīng)用攻陷全球最大應(yīng)用商店

　　移動(dòng)應(yīng)用從開發(fā)者到用戶手機(jī)，應(yīng)用市場(chǎng)無疑是最好的渠道。目前國內(nèi)外大多數(shù)應(yīng)用市場(chǎng)會(huì)對(duì)應(yīng)用進(jìn)行安全檢測(cè)，一定程度上保證了應(yīng)用安全。但在2017年，全球最大應(yīng)用商店Google Play多次出現(xiàn)惡意應(yīng)用繞過安全審查成功上架的情況，引發(fā)業(yè)界擔(dān)憂。

　　據(jù)谷歌統(tǒng)計(jì)，僅攜帶Xavier木馬病毒的應(yīng)用數(shù)量已經(jīng)超過800款，其中部分應(yīng)用在Google Play上的下載量已經(jīng)超過數(shù)百萬次。對(duì)普通用戶而言，單純依賴應(yīng)用市場(chǎng)自身的安全機(jī)制解決移動(dòng)應(yīng)用安全問題的方式已不再可靠。

　　藍(lán)盾通過對(duì)國內(nèi)某重要移動(dòng)應(yīng)用市場(chǎng)的排查發(fā)現(xiàn)，即便有相應(yīng)的應(yīng)用審核機(jī)制，應(yīng)用市場(chǎng)的APP仍存在大量漏洞，其中不乏危及用戶財(cái)產(chǎn)及隱私安全的高危漏洞：

　　目前國內(nèi)許多第三方庫的開發(fā)者安全意識(shí)不足，第三方庫本身存在各種各樣的安全隱患，進(jìn)而導(dǎo)致用戶下載使用庫內(nèi)APP后，安全漏洞即便被發(fā)現(xiàn)也無法修復(fù)，造成的影響更大。

　　3、黑客攻擊越發(fā)重視經(jīng)濟(jì)收益

　　據(jù)美國安全公司 Carbon Black發(fā)布的最新勒索軟件調(diào)查報(bào)告顯示，與2016年相比，2017年暗網(wǎng)經(jīng)濟(jì)中勒索軟件的市場(chǎng)規(guī)模猛增2502%，且已逐步往移動(dòng)設(shè)備滲透。

　　通過這種變化我們不難看出，黑客攻擊目的已經(jīng)從技術(shù)竊取轉(zhuǎn)為金錢勒索，對(duì)攻擊行為短期變現(xiàn)要求較高。由于攻擊門檻低、風(fēng)險(xiǎn)低、回報(bào)高，移動(dòng)APP吸引了越來越多的黑客的注意。

　　相較安全防護(hù)已普及多年的PC端，移動(dòng)安全防護(hù)是一個(gè)嶄新的命題，開發(fā)者與用戶的移動(dòng)安全意識(shí)普遍處于萌芽階段。因此，針對(duì)移動(dòng)應(yīng)用的網(wǎng)絡(luò)攻擊帶來的危害往往更為隱蔽而巨大。

　　4、攻擊方式多變，新型攻擊叢生

　　2017年的網(wǎng)絡(luò)攻擊，除了勒索病毒的出現(xiàn)，黑客的攻擊手段也推陳出新。

　　①新目標(biāo)：小程序成最新攻擊對(duì)象

　　2017年初發(fā)布的小程序在年末開始發(fā)力，頭腦王者、跳一跳等多個(gè)小程序相繼走紅，獲得大量微信用戶的熱捧。但同時(shí)，小程序的走紅也為黑客們提供了新的攻擊平臺(tái)，各類小程序外掛泛濫。

　　小程序開發(fā)門檻較低，安全防護(hù)又未能及時(shí)跟上，面對(duì)攻擊時(shí)小程序往往不堪一擊。目前微信小程序安全防護(hù)的重要性和迫切性未引起開發(fā)者的關(guān)注，另一方面，基于微信的小程序備受信賴，用戶防護(hù)意識(shí)嚴(yán)重不足，危險(xiǎn)系數(shù)急劇上升。

　　②新形式：惡意APP利用手機(jī)挖礦

　　2017年，以比特幣為首的電子貨幣余熱未退，仍有大量民眾趨之若鶩。獲取比特幣需通過設(shè)備運(yùn)行特定算法，為挖到更多的“礦”，部分不法分子打起了移動(dòng)設(shè)備的主意，通過CoinKrypt、Loapi等木馬入侵用戶手機(jī)，組建僵尸網(wǎng)絡(luò)挖礦。

　　此類攻擊綁架用戶手機(jī)，極易導(dǎo)致隱私泄露。而挖礦(執(zhí)行算法)過程中電量消耗嚴(yán)重，縮短了電池使用壽命，甚至有可能導(dǎo)致電池鼓脹，發(fā)生爆炸。

　　③新方式：Xcode Ghost在源頭植入病毒

　　Xcode Ghost病毒利用開發(fā)者不規(guī)范的行為，直接在開發(fā)軟件內(nèi)植入病毒，實(shí)現(xiàn)了在源頭感染應(yīng)用。

　　Xcode Ghost帶來的影響除了我們表面所看到的iOS部分應(yīng)用被掛馬與Unity3D被投毒，更重要的是黑客已經(jīng)開始嘗試將攻擊矛頭瞄準(zhǔn)開發(fā)者。在開發(fā)者安全意識(shí)普遍較弱的情況下，這一新式攻擊手法帶來的危害極大。

　　四、移動(dòng)安全機(jī)遇與挑戰(zhàn)并存

　　目前，移動(dòng)互聯(lián)網(wǎng)已得到徹底普及。面對(duì)移動(dòng)設(shè)備、移動(dòng)APP存在的眾多安全隱患，國家政府與企業(yè)已經(jīng)開始意識(shí)到問題的嚴(yán)重性，各方面的應(yīng)對(duì)之策相應(yīng)出臺(tái)。

　　1、《網(wǎng)絡(luò)安全法》保護(hù)個(gè)人隱私，等保2.0首提移動(dòng)互聯(lián)等級(jí)保護(hù)要求

　　2017年6月，《中華人民共和國網(wǎng)絡(luò)安全法》(下稱《網(wǎng)絡(luò)安全法》)正式實(shí)施，移動(dòng)互聯(lián)網(wǎng)安全保護(hù)有法可依。

　　一方面，《網(wǎng)絡(luò)安全法》對(duì)用戶個(gè)人信息保護(hù)做出了明確規(guī)定。如非法獲取出售公民個(gè)人隱私信息超50條將入罪，企業(yè)應(yīng)確保個(gè)人信息安全，若發(fā)生信息泄露、毀損、丟失的情況時(shí)應(yīng)及時(shí)補(bǔ)救并告知用戶、報(bào)告有關(guān)主管部門等。

　　《網(wǎng)絡(luò)安全法》定義了我國用戶隱私權(quán)益邊界，在法律層面確定了運(yùn)營方保護(hù)用戶信息的責(zé)任，對(duì)限制運(yùn)營方的用戶信息收集行為、打擊信息買賣等非法行為都具有重要意義。

　　另一方面，借國家立法契機(jī)，等保2.0中正式提出了移動(dòng)APP等級(jí)保護(hù)的要求。

　　等級(jí)保護(hù)是指國家依據(jù)信息及信息載體重要性進(jìn)行的分級(jí)保護(hù)。2017年確立的等保2.0首度明確移動(dòng)APP的安全要求，涉及“移動(dòng)應(yīng)用管控”、“移動(dòng)應(yīng)用軟件采購”、“移動(dòng)應(yīng)用軟件開發(fā)”等多個(gè)方面。此舉表明移動(dòng)APP的安全保護(hù)已得到國家層面的重視和支持。

　　2、企業(yè)重視安全 加大防護(hù)投入

　　2017年全球企業(yè)全面加大網(wǎng)絡(luò)安全方面的投入。根據(jù)Gartner最新報(bào)告顯示，在2017年，全球網(wǎng)絡(luò)安全的支出額為890億美元;到2018年，這個(gè)數(shù)字預(yù)計(jì)將達(dá)到960億美元。

　　根據(jù)普華永道《2018全球信息安全狀況調(diào)查》顯示，2017年中國內(nèi)地與香港企業(yè)在網(wǎng)絡(luò)安全方面的平均投入比全球數(shù)值高出近四分之一(23.5%)，受訪企業(yè)的平均預(yù)算達(dá)630萬美元。

　　其中，46%的中國內(nèi)地與香港受訪企業(yè)將移動(dòng)設(shè)備列為信息安全事件的攻擊目標(biāo)，予以重視。

　　3、移動(dòng)安全進(jìn)入AI時(shí)代 AI攻防戰(zhàn)拉開序幕

　　2017年是人工智能的元年，很多領(lǐng)域都開始采用了人工智能技術(shù)。而移動(dòng)安全防護(hù)技術(shù)也從傳統(tǒng)的動(dòng)靜態(tài)防護(hù)識(shí)別，向基于大數(shù)據(jù)、深度機(jī)器學(xué)習(xí)、人工智能等方向轉(zhuǎn)變，大數(shù)據(jù)、AI機(jī)器學(xué)習(xí)、態(tài)勢(shì)感知等前沿技術(shù)開始正式應(yīng)用于移動(dòng)安全防護(hù)領(lǐng)域。

　　AI時(shí)代的移動(dòng)安全防護(hù)已不再是僅限于APP的點(diǎn)式防護(hù)，而是擴(kuò)展到通過AI與大數(shù)據(jù)作為后勤保障，以移動(dòng)應(yīng)用和移動(dòng)設(shè)備作為能力支點(diǎn)，以用戶為核心，云、端結(jié)合的立體防護(hù)體系。

　　4、用戶隱私意識(shí)開始覺醒

　　用戶隱私安全開始引起廣泛關(guān)注，媒體、民眾對(duì)個(gè)人隱私的重視程度明顯加強(qiáng)。在2017年爆發(fā)的多起用戶隱私被泄露及售賣的事件中，民眾從開始的關(guān)注逐步演變成擔(dān)憂：2017年初，央視曝光個(gè)人信息遭泄露及網(wǎng)上販賣的新聞，掀起了廣大市民對(duì)個(gè)人隱私安全的擔(dān)憂;4月，外媒曝光上億優(yōu)酷用戶信息數(shù)據(jù)在暗網(wǎng)被售賣，無孔不入的個(gè)人信息泄露及售賣引起用戶關(guān)注;6月，順豐與菜鳥針對(duì)用戶物流數(shù)據(jù)展開爭(zhēng)奪，企業(yè)數(shù)據(jù)爭(zhēng)奪加劇用戶對(duì)個(gè)人隱私的擔(dān)憂。

　　在接踵而來的隱私泄露事件中，用戶對(duì)個(gè)人隱私安全的擔(dān)憂持續(xù)攀升。部分用戶開始嘗試主動(dòng)了解并反擊：2017年12月，一篇標(biāo)題為《一位92年女生致周鴻祎：別再盯著我們看了》的文章在網(wǎng)上熱傳，360旗下水滴直播平臺(tái)被指侵犯公眾隱私，水滴直播平臺(tái)之后宣布永久關(guān)閉;2018年伊始，網(wǎng)友曝光支付寶年度賬單授權(quán)“被同意”，支付寶隨后緊急致歉，螞蟻金服也因此被網(wǎng)信辦約談;春節(jié)搶票期間，用戶質(zhì)疑12306手機(jī)客戶端越界獲取隱私權(quán)限，引發(fā)業(yè)界關(guān)注。

　　以上事件皆為用戶曝光，我們欣喜地看到越來越多的質(zhì)疑之聲是從用戶口中發(fā)出。用戶隱私意識(shí)開始覺醒，對(duì)移動(dòng)互聯(lián)網(wǎng)環(huán)境中個(gè)人隱私安全有了更多考慮。

　　對(duì)于企業(yè)而言，如何滿足民眾對(duì)隱私安全日益提高的要求，調(diào)整規(guī)范自身產(chǎn)品及服務(wù)行為，將是2018年不得不思考的一個(gè)問題。

　　完整版PDF鏈接：http://www.bluedon.com/uploadfiles/file/20180130/20180130190924_7160.pdf

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。