特稿 >

行业洞察 >

FreeBuf发布2017年度移动App安全漏洞与数据泄露现状报告

FreeBuf发布2017年度移动App安全漏洞与数据泄露现状报告

FreeBuf研究院 丨 行业洞察

19857
2866

2017-06-17

小猪

Xtecher特稿作者

关注

近10年来,移动设备在消费领域乃至此后企业领域的扩展,从速度和数量来看都是相当惊人的。早在2014年,ANDREESSEN HOROWITZ分析师Benedict Evans就说:“移动正在啃噬这个世界(Mobile is Eating the World)。”这从来就不是夸张,全球范围内移动设备的数量早就在多年前超越了世界人口总和。从2007年苹果推出初代iPhone革新智能手机至今短短10年,移动行业的市场规模都在急速增长。


Statista的数据显示,2016年全球范围内智能手机的出货量在15亿台左右,预计到2020年这个数字会增加到17.1亿;到2018年,全球手机用户总数将达到25.3亿人次——其中1/4都来自中国。仅2016年中国智能手机市场规模都已经超过1335亿美元。


与许多技术由上至下,从企业到消费市场的发展方式不同,移动技术始于消费用户领域。这就一定程度意味着移动设备和软件前期对于安全的不重视,安全在移动领域的起步相较桌面和其他传统领域也明显更晚。


1497680323364539.jpg


FreeBuf研究院在中国泰尔实验室的指导下,辅以漏洞盒子、启明星辰和中国信息通信研究院安全研究所的数据与内容支持,从第三方移动App安全及信息泄露的角度共同撰写了这份《2017年度移动App安全漏洞与数据泄露现状报告》。


在数据研究和分析过程中,选择了金融、购物、医疗、社交、游戏、娱乐、交通与出行、生活服务等八个分类的892款Android平台的流行App作为样本,借由启明星辰的应用自动化安全测试平台,来发现移动App存在安全风险与漏洞。与此同时,以企业组织的移动App开发者、项目管理人员和安全专家为对象,下发近200份问卷,尝试解读造成移动App安全漏洞和问题的根源——企业对象涵盖大中小不同规模;另外也针对移动App普通用户下发近300份问卷,了解应用安全在普通用户中的需求和位置。


这份报告旨在从移动App安全漏洞和数据泄露的角度来窥见移动App的安全现状,以及移动领域的开发者和安全专家在App安全开发方面的不足,并期望以此帮助开发者和安全专家,以及项目管理人员在进行相关App安全决策时给出参考和指引。


1497674225211973.jpg


值得一提的是,虽然这份报告并不专注于企业级App的安全问题可能对企业安全造成的危害,而更多将注意力集中在消费类移动App的漏洞、数据泄露、仿冒等安全风险的层面,但BYOD工作方式也能够让这类移动App对企业安全造成影响;且报告对于企业级App开发亦有一定的参考价值。


在《中华人民共和国网络安全法》于6月1日起开始施行的当下,相关移动App开发与安全的企业组织有义务“防止网络数据泄露或被窃取、篡改”。无论从安全问题造成的用户和企业直接损失,挽救企业信誉的角度,还是按照相应规范进行App开发、遵守《网络安全法》的角度来看,移动App漏洞、数据泄露和其他安全问题都应该成为企业组织、开发者和安全专家重视的问题。


报告Key Findings


• 过往10年移动App在数量和规模上的爆发,为攻防双方开辟了新战场;


• 移动App更出色的安全性可以成为吸引和留住用户的差异化竞争要素;


• 用户对于移动App安全普遍更为乐观,而开发者则恰好相反;


• 65%接受测试的移动App至少存在1个高危漏洞,平均每个App就有7.32个漏洞;


• 娱乐类移动App成安全漏洞重灾区,每10个娱乐类移动App就有9个至少包含一个高危漏洞;


• 社交类App被仿冒的几率相较其它类别平均高出10倍以上,仅社交类App被仿冒占比达到测试中所有仿冒移动App的近六成;


• 多达88%的金融类App都存在内存敏感数据泄露问题;


• 移动App安全问题的主要原因在于开发和安全的分化:69%的开发者认为安全是其他人的工作;


• 在开发者看来,强制合规仍是移动App安全的最大驱动力,这或为造成当前移动App安全问题的一大原因。


2007年Android系统出现至今,移动App安全走过了几个时代。2012-2014年间,安全加固服务开始崭露头角。不过彼时的安全加固只解决了客户端和代码安全问题,对隐私、业务、通信安全而言并没有很大的帮助;到2015年开始有了移动App安全检测服务,这个阶段的安全加固引入了自动化审计,对通信安全有了一定的帮助,但隐私安全和业务安全也依旧是问题。


就安全部分,移动App安全加固现如今的发展阶段引入了“安全生态链”,所以顺势出现了融入到整个App开发上线周期链中的全套安全服务。这个生态链包含了安全SDK组件、安全编译器、安全检测与风险评估、安全加固、渠道检测和智能云更新。该生态链对行业而言是有价值的。如报告中提到的内存敏感数据即贯穿移动应用产品的整个生命周期,仅仅采取单一的App加固解决方案并不能完全杜绝敏感信息泄露问题。


1497674304725150.jpg


这个“生态链”的本质在于将安全融入到开发周期中,试图解决开发和安全分割的现状。不过,这仍是需要开发团队或项目管理人员,以及配套的安全专家真正建立起足够的安全意识并跨出一步,做出配合方能见效的。 


本次报告从移动App安全漏洞、App仿冒、数据泄露等安全问题入手,以统计和测试数据为依托,对这些安全问题的现状进行解读和分析,期望从Android平台移动消费类App客户端安全问题的角度,对移动安全进行管中窥豹,并让所有读者了解移动App安全问题的紧迫性。


FreeBuf.COM是斗象科技旗下、国内领先的互联网安全新媒体,每日发布最专业的安全资讯、技术剖析,分享国内外最新安全资源,是最受安全从业者与爱好者关注的网络安全网站与社区。FreeBuf研究院则集结了行业内经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,呈现最专业的安全行业现状和趋势分析。


启明星辰信息技术有限公司成立于1996年,由留美博士严望佳女士创建,是一家拥有自主知识产权的网络安全高科技企业。作为与国际接轨、勇于创新的先行者,启明星辰公司致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能。


FreeBuf安全研究院领衔编写的《2017年度移动App安全漏洞与数据泄露现状报告》全文如下。





打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

账号登录

重置密码

还没有账号?立即注册>

账号注册

已有账号?立即登录>注册企业会员

重置密码

返回

绑定手机