2021年4月17日,由OWASP中國舉辦的“智移動 * 新安全-2021移動應(yīng)用安全論壇“圓滿結(jié)束,論壇上,通付盾作為受邀嘉賓,重磅發(fā)布《通付盾行業(yè)灰應(yīng)用態(tài)勢感知季報(2021Q1)》(以下簡稱‘季報‘),與此同時,通付盾移動安全合規(guī)專家圍繞“灰應(yīng)用檢測”為核心,向參會來賓們詳細(xì)解析灰應(yīng)用的特征及如何利用相關(guān)技術(shù)挖掘與分析此類應(yīng)用。
以下是《季報》核心要點。
灰應(yīng)用調(diào)查總體背景情況
依托通付盾先進的決策引擎技術(shù)替代人工檢測,通付盾灰應(yīng)用檢測平臺針對各大應(yīng)用市場熱門排行榜上共計3450款應(yīng)用進行了重點批量檢測,在此基礎(chǔ)上,通付盾北斗團隊分別從用戶信息收集合規(guī)性及內(nèi)容合規(guī)性檢測兩大檢測維度,針對主要權(quán)限申請情況、動態(tài)權(quán)限調(diào)用情況、用戶信息收集情況、應(yīng)用類型分布、應(yīng)用形態(tài)、應(yīng)用傳播方式、市場特點等進行了重點安全合規(guī)分析。
1) 權(quán)限申請情況分析
通過分析上述3450款應(yīng)用權(quán)限申請檢測結(jié)果后發(fā)現(xiàn),共申請權(quán)限總類達(dá)5770種,其中約67種敏感權(quán)限,自定義權(quán)限達(dá)4080種;對申請的67種敏感權(quán)限進行統(tǒng)計發(fā)現(xiàn),讀取外部權(quán)限、讀取電話狀態(tài)的申請頻次最高,分別有94%,93%的應(yīng)用申請了該權(quán)限,其次是使用相機和定位的權(quán)限申請,均在80%以上。
圖1 各類權(quán)限申請情況統(tǒng)計
2) 動態(tài)權(quán)限調(diào)用情況分析
通過對這3450款應(yīng)用進行動態(tài)權(quán)限合規(guī)檢測后,發(fā)現(xiàn)應(yīng)用調(diào)用次數(shù)最高的分別是讀取通話狀態(tài),讀寫外部存儲和獲取位置信息三類權(quán)限。
圖2 各類權(quán)限調(diào)用情況統(tǒng)計
3) 用戶信息收集情況分析
針對獲取地理位置和獲取手機狀態(tài)兩項權(quán)限的單獨分析發(fā)現(xiàn),共有2150款應(yīng)用申請了獲取地理權(quán)限,這些應(yīng)用根據(jù)應(yīng)用類型劃分,申請最多的是電子圖書和工具管理類應(yīng)用,其次是網(wǎng)絡(luò)支付、新聞資訊等。根據(jù)《規(guī)定》,僅地圖導(dǎo)航、網(wǎng)絡(luò)約車、餐飲外送、郵件快件寄遞、服務(wù)旅游、用車服務(wù)類可以申請地理位置權(quán)限。這類權(quán)限違規(guī)情況極為嚴(yán)重。
圖3 各類應(yīng)用地理位置權(quán)限申請情況統(tǒng)計
此外,共有95款應(yīng)用申請了獲取手機號碼權(quán)限,這些應(yīng)用按類型劃分后主要集中在地圖導(dǎo)航、網(wǎng)絡(luò)支付、電子圖書、網(wǎng)絡(luò)社區(qū)和短視頻中。根據(jù)《規(guī)定》,電子圖書、短視頻、安全管理等無須個人信息。
圖4各類應(yīng)用申請獲取收集好嗎權(quán)限情況統(tǒng)計
4) 內(nèi)容違規(guī)類應(yīng)用檢測結(jié)果分析
通過上述3450款應(yīng)用檢測結(jié)果的匯總及分析,共發(fā)現(xiàn)疑似內(nèi)容違規(guī)數(shù)據(jù)2360條,疑似存在違規(guī)問題的應(yīng)用448款,將這448款應(yīng)用按內(nèi)容違規(guī)的類別劃分,疑似涉黃類124款,疑似非法廣告類225款,疑似暴恐類2款,疑似違禁類29款,疑似涉政類98款,疑似惡心類0款。季報對每一類應(yīng)用類型進行了典型案例分析,并對它們的傳播方式、分布市場特點等進行了針對分析。
圖5 違規(guī)問題應(yīng)用分布圖
最后,通付盾北斗團隊專家對灰應(yīng)用監(jiān)測情況作了總結(jié),通過對灰應(yīng)用內(nèi)容違規(guī)情況和超權(quán)用戶信息收集情況的分析,安全專家發(fā)現(xiàn),內(nèi)容違規(guī)應(yīng)用市場占有率低,但是檢測難度大,危害性廣,這不僅需要市場部門的大力監(jiān)管,更需要先進的檢測技術(shù)發(fā)現(xiàn)這類違規(guī)應(yīng)用;存在超權(quán)用戶信息收集的應(yīng)用市場分布較廣,需要加大力度進行統(tǒng)一整治管理。
灰應(yīng)用存在在特定區(qū)域及時間發(fā)生內(nèi)容違規(guī)、功能違規(guī)、竊取用戶信息、攜帶惡意病毒等問題,灰應(yīng)用在傳播方式、生存方式上具有很強的隱蔽性,給用戶的隱私保護帶來了更多的挑戰(zhàn),給用戶的身心健康及生命財產(chǎn)安全也帶來了極大威脅。
隨著國家對移動應(yīng)用市場的監(jiān)管力度不斷加強,灰應(yīng)用檢測必將受到越來越多的關(guān)注。通付盾北斗團隊將不斷深入灰應(yīng)用檢測的技術(shù)升級與檢測模式創(chuàng)新,為建設(shè)健康和諧的移動應(yīng)用市場貢獻一份力量。
關(guān)于通付盾灰應(yīng)用檢測平臺:
通付盾灰應(yīng)用檢測平臺是一款面向移動應(yīng)用開發(fā)者、監(jiān)管單位、測評機構(gòu)、應(yīng)用市場等推出的移動應(yīng)用安全合規(guī)檢測平臺,結(jié)合相關(guān)國家標(biāo)準(zhǔn)和金融、通信等細(xì)分領(lǐng)域行業(yè)標(biāo)準(zhǔn),利用符號執(zhí)行、動態(tài)沙箱、動靜結(jié)合檢測引擎等技術(shù)手段,提供高可用、高性能、高安全的自動化移動應(yīng)用安全合規(guī)檢測服務(wù),精準(zhǔn)識別移動應(yīng)用中存在的安全漏洞、惡意代碼、違規(guī)信息采集行為、違規(guī)內(nèi)容,給出安全合規(guī)整改建議,幫助提高移動應(yīng)用的安全性與合規(guī)性。
關(guān)于通付盾北斗團隊:
通付盾北斗團隊(負(fù)責(zé)安全合規(guī)產(chǎn)品)于2013年成立,8年來專注于移動應(yīng)用全生命周期的安全研究,積累了豐富的移動應(yīng)用安全實戰(zhàn)經(jīng)驗,不斷保持技術(shù)研發(fā)與創(chuàng)新,致力于為企業(yè)提供移動應(yīng)用全生命周期安全工程解決方案。自研了符號執(zhí)行、動態(tài)沙箱、大數(shù)據(jù)分析、VMP虛擬機保護、iPA動態(tài)殼保護等多個核心技術(shù)。團隊所研發(fā)產(chǎn)品已服務(wù)于上千家各行業(yè)客戶,深入到政府、軍工、能源、金融、運營商、教育、醫(yī)療、傳媒、交通、互聯(lián)網(wǎng)等行業(yè),為數(shù)十億級移動終端提供了移動應(yīng)用安全保障。其中移動應(yīng)用安全合規(guī)檢測成功服務(wù)國測、軍測、公安和工信部,實現(xiàn)國家級測評機構(gòu)全覆蓋。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )