《2018移动应用安全报告》发布 行业App权限过度获取削弱安全性
星期五, 七月 19, 2019
日前,结合移动应用威胁情报、移动应用安全监测数据,由梆梆安全负责组织编撰的《2018移动应用安全报告》(后文简称《报告》)正式对外发布。在国家对移动应用治理全面趋严的2019年,该《报告》的发布为开发者、企业用户及国家监管机构更好的深入认知移动应用安全威胁状况,做好移动应用安全防护和监管工作,从内部和外部两个层面给出了深度解析以及安全建议参考。
当移动应用App在极大丰富、甚至改变人们生活、工作的同时,人们对于移动应用的安全问题却在显露出太多无所谓的态度。在许多人看来,泄漏了通讯录、电话号码,无非就是接到一些骚扰电话而已。但梆梆安全监测发现,在2018年由于移动应用所泄漏的2.6亿逾条数据里包含了用户个人基础信息、用户证件信息、财务信息、医疗健康信息、交通出行信息、企业安全信息、敏感军事信息等,这意味着,由于移动应用所造成的数据泄漏不仅在让个人用户“裸奔”于网络空间,更在直接给企业甚至国家机密部门带来风险。健身应用Polar Flow所泄漏的69个国家情报和军事人员位置,严重威胁了英美法俄等多国的国家安全,国家级网络攻击组织完全可以将之利用,对目标国家的特殊人员进行定位、监控等。
图1:健身应用暴露英国秘密情报局MI6位置
国家级APT网络间谍活动“ZooPark”就非常专注中东地区国家的Android设备用户,相关间谍应用软件能够获得用户手机里的第三方移动应用数据,及用户按键操作、浏览记录、照片、音频、视频等文件数据。
实际上除了数据泄漏问题外,仅在2018年就有超过6亿美元的资金损失事件和移动应用有着直接、间接的关联性。梆梆安全在对2018年主流数字货币热钱包移动应用检测后发现,67%的电子钱包存在数据传输安全问题,半数以上的电子钱包数据库安全性不高。另外,2018年还有超过40个国家和地区的3000多万用户在被恶意移动应用所困扰,移动应用的供应链安全隐患日益凸显。
图2:部分感染恶意移动应用国家分布图
国家一直都在对移动应用的安全性进行治理,2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门更是联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。梆梆安全在对典型行业移动应用进行安全监测时发现,交通、农业、互联网金融、区块链、教育、旅游行业领域的移动应用存在各类权限安全隐患问题,过度的权限获取实际上是在给这些行业移动应用带来更多未知且不可控性更强的安全风险。
图3:典型行业移动应用App获取用户手机权限综合统计情况
“直接拨打电话号码”和“录音”是许多行业移动应用都会试图获取的权限,如果这些权限被恶意攻击者借机获取,意味着攻击者可以冒充用户恶意拨打电话,实时对用户工作、生活进行监控,导致个人、企业及国家机密信息的被泄漏,过度的权限获取实际上反倒会削弱行业移动应用的安全强度。西甲联赛官方Android版移动应用就是由于获取了用户的录音和位置权限,而被处罚款25万欧元。
梆梆安全统计发现,2018年移动应用最为典型的安全问题依然聚焦于业务安全性上,且移动应用的身份认证安全、数据安全、恶意攻击防护能力以及其自身安全问题也在变得更加突出。
图4:五大移动应用典型安全问题
移动应用安全是一项复杂的系统性工程,除了上述五个主要安全问题外,外发SDK、第三方SDK等环节的安全防护缺失,也在给恶意攻击者带来机会。“寄生推”SDK、“应用克隆”漏洞、ZipperDown漏洞无不在时刻提醒我们,移动应用的安全防护不仅要做到开发之前,在移动应用上线后也需要进行持续的威胁感知。
随着越来越多网络安全法律法规的制定落地,移动应用安全建设及合规的必要性与日俱增。希望本《报告》的发布能够为用户做好移动应用安全防护提供参考,帮助用户提前发现移动应用安全危机,把移动业务安全风险消灭在萌芽中。