當前位置:
首頁 > 新聞 > 重磅 | FreeBuf發布2017年度移動App安全漏洞與數據泄露現狀報告

重磅 | FreeBuf發布2017年度移動App安全漏洞與數據泄露現狀報告


近10年來,移動設備在消費領域乃至此後企業領域的擴展,從速度和數量來看都是相當驚人的。早在2014年,ANDREESSEN HOROWITZ分析師Benedict Evans就說:「

移動正在啃噬這個世界(Mobile is Eating the World)。

」這從來就不是誇張,全球範圍內移動設備的數量早就在多年前超越了世界人口總和。從2007年蘋果推出初代iPhone革新智能手機至今短短10年,移動行業的市場規模都在急速增長。


Statista的數據顯示,2016年全球範圍內智能手機的出貨量約在15億台左右,預計到2020年這個數字會增加到17.1億;到2018年,全球手機用戶總數將達到25.3億人次——其中1/4都來自中國。僅2016年中國智能手機市場規模都已經超過1335億美元。


與許多技術由上至下,從企業到消費市場的發展方式不同,移動技術始於消費用戶領域。這就一定程度意味著移動設備和軟體前期對於安全的不重視,安全在移動領域的起步相較桌面和其他傳統領域也明顯更晚。



FreeBuf研究院在中國泰爾實驗室的指導下,輔以漏洞盒子、啟明星辰和中國信息通信研究院安全研究所的數據與內容支持,從第三方移動App安全及信息泄露的角度共同撰寫了這份《2017年度移動App安全漏洞與數據泄露現狀報告》。


在數據研究和分析過程中,我們選擇了金融、購物、醫療、社交、遊戲、娛樂、交通與出行、生活服務等八個分類的892款Android平台的流行App作為樣本,藉由啟明星辰的應用自動化安全測試平台,來發現移動App存在安全風險與漏洞。與此同時,我們以企業組織的移動App開發者、項目管理人員和安全專家為對象,下發近200份問卷,嘗試解讀造成移動App安全漏洞和問題的根源——企業對象涵蓋大中小不同規模;另外也針對移動App普通用戶下發近300份問卷,了解應用安全在普通用戶中的需求和位置。


這份報告旨在從移動App安全漏洞和數據泄露的角度來窺見移動App的安全現狀,以及移動領域的開發者和安全專家在App安全開發方面的不足,並期望以此幫助開發者和安全專家,以及項目管理人員在進行相關App安全決策時給出參考和指引。


值得一提的是,雖然這份報告並不專註於企業級App的安全問題可能對企業安全造成的危害,而更多將注意力集中在消費類移動App的漏洞、數據泄露、仿冒等安全風險的層面,但BYOD工作方式也能夠讓這類移動App對企業安全造成影響;且報告對於企業級App開發亦有一定的參考價值。


在《中華人民共和國網路安全法》於6月1日起開始施行的當下,相關移動App開發與安全的企業組織有義務「防止網路數據泄露或被竊取、篡改」。無論從安全問題造成的用戶和企業直接損失,挽救企業信譽的角度,還是按照相應規範進行App開發、遵守《網路安全法》的角度來看,移動App漏洞、數據泄露和其他安全問題都應該成為企業組織、開發者和安全專家重視的問題。


報告Key Findings


? 過往10年移動App在數量和規模上的爆發,為攻防雙方開闢了新戰場;


? 移動App更出色的安全性可以成為吸引和留住用戶的差異化競爭要素;

? 用戶對於移動App安全普遍更為樂觀,而開發者則恰好相反;


? 65%接受測試的移動App至少存在1個高危漏洞,平均每個App就有7.32個漏洞;


? 娛樂類移動App成安全漏洞重災區,每10個娛樂類移動App就有9個至少包含一個高危漏洞;


? 社交類App被仿冒的幾率相較其它類別平均高出10倍以上,僅社交類App被仿冒佔比達到測試中所有仿冒移動App的近六成;


? 多達88%的金融類App都存在內存敏感數據泄露問題;


? 移動App安全問題的主要原因在於開發和安全的分化:69%的開發者認為安全是其他人的工作;


? 在開發者看來,強制合規仍是移動App安全的最大驅動力,這或為造成當前移動App安全問題的一大原因。



2007年Android系統出現至今,移動App安全走過了幾個時代。2012-2014年間,安全加固服務開始嶄露頭角。不過彼時的安全加固只解決了客戶端和代碼安全問題,對隱私、業務、通信安全而言並沒有很大的幫助;到2015年開始有了移動App安全檢測服務,這個階段的安全加固引入了自動化審計,對通信安全有了一定的幫助,但隱私安全和業務安全也依舊是問題。


就安全部分,移動App安全加固現如今的發展階段引入了「安全生態鏈」,所以順勢出現了融入到整個App開發上線周期鏈中的全套安全服務。這個生態鏈包含了安全SDK組件、安全編譯器、安全檢測與風險評估、安全加固、渠道檢測和智能雲更新。該生態鏈對行業而言是有價值的。如報告中提到的內存敏感數據即貫穿移動應用產品的整個生命周期,僅僅採取單一的App加固解決方案並不能完全杜絕敏感信息泄露問題。


這個「生態鏈」的本質在於將安全融入到開發周期中,試圖解決開發和安全分割的現狀。不過,這仍是需要開發團隊或項目管理人員,以及配套的安全專家真正建立起足夠的安全意識並跨出一步,做出配合方能見效的。


本次報告從移動App安全漏洞、App仿冒、數據泄露等安全問題入手,以統計和測試數據為依託,對這些安全問題的現狀進行解讀和分析,期望從Android平台移動消費類App客戶端安全問題的角度,對移動安全進行管中窺豹,並讓所有讀者了解移動App安全問題的緊迫性。


出品



FreeBuf研究院



指導單位



中國泰爾實驗室


內容及數據支持



漏洞盒子

啟明星辰


中國泰爾實驗室


中國信息通信研究院安全研究所


關於FreeBuf研究院



FreeBuf.COM是斗象科技旗下、國內領先的互聯網安全新媒體,每日發布最專業的安全資訊、技術剖析,分享國內外最新安全資源,是最受安全從業者與愛好者關注的網路安全網站與社區。FreeBuf研究院則集結了行業內經驗豐富的安全專家和分析師,常年對信息安全技術、行業動態保持追蹤,呈現最專業的安全行業現狀和趨勢分析。


關於啟明星辰



啟明星辰信息技術有限公司成立於1996年,由留美博士嚴望佳女士創建,是一家擁有

自主知識產權的網路安全高科技企業。作為與國際接軌、勇於創新的先行者,啟明星辰公司致力於提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能。


<點擊閱讀原文下載完整版報告>


* FreeBuf研究院榮譽出品,未經許可禁止轉載


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

macOS平台上首現RaaS(勒索軟體即服務)模式的惡意軟體
一款用於發現SSRF、XXE、XSS漏洞的小工具
美軍網路戰探尋:南加州沙漠里的坦克「剋星」
【FB TV】一周「BUF大事件」:類永恆之藍病毒來襲
新型PPT釣魚攻擊分析(含gootkit木馬詳細分析)

TAG:FreeBuf |

您可能感興趣

蘋果發布iOS 12.1.4更新 已修復Facetime安全漏洞
蘋果推送 iOS 12.1.4,修復 Group FaceTime 安全漏洞
蘋果發布iOS 12.1.4操作系統更新 修復FaceTime安全漏洞
Google Chrome 73穩定版發布:支持Dark模式 修復60處安全漏洞
一項Wi-Fi安全漏洞被發現:波及PS4、XB1、Surface等62億台設備
X-Force Red在五大訪客管理系統發現19個安全漏洞
回顧Facebook醜聞滿滿的2018年:假新聞、數據泄露和安全漏洞陸續登場
Intel處理器第N次被曝安全漏洞:2011年起無一倖免
Facebook又出安全漏洞,受影響用戶多達680萬
維珍Hyperloop One新一輪融資獲得1.72億美元;英特爾再次出現安全漏洞
WebExtension安全漏洞詳解 Part 1
前雅虎Altaba因2014年隱瞞大規模網路安全漏洞 被罰3500萬美元
5000萬用戶受影響,Facebook因安全漏洞再被告上法庭
Windows 10安全漏洞仨月都沒修復 Google怒而曝光之
Excel 曝出 Power Query 安全漏洞,1.2 億用戶易受遠程 DDE 攻擊
GeForce Experience曝出高危安全漏洞:NVIDIA緊急發布升級更新
Google在補丁準備好之前披露了另一個Windows 10安全漏洞
3.3億用戶密碼疑泄露,Twitter出現重大安全漏洞!
AWS、Azure、谷歌云:三家安全漏洞多達 3400 萬個!
7zip曝出重大安全漏洞:官方敦促立即升級到v18.05