重磅 | FreeBuf發布2017年度移動App安全漏洞與數據泄露現狀報告

近10年來，移動設備在消費領域乃至此後企業領域的擴展，從速度和數量來看都是相當驚人的。早在2014年，ANDREESSEN HOROWITZ分析師Benedict Evans就說：「

移動正在啃噬這個世界（Mobile is Eating the World）。

Statista的數據顯示，2016年全球範圍內智能手機的出貨量約在15億台左右，預計到2020年這個數字會增加到17.1億；到2018年，全球手機用戶總數將達到25.3億人次——其中1/4都來自中國。僅2016年中國智能手機市場規模都已經超過1335億美元。

與許多技術由上至下，從企業到消費市場的發展方式不同，移動技術始於消費用戶領域。這就一定程度意味著移動設備和軟體前期對於安全的不重視，安全在移動領域的起步相較桌面和其他傳統領域也明顯更晚。

FreeBuf研究院在中國泰爾實驗室的指導下，輔以漏洞盒子、啟明星辰和中國信息通信研究院安全研究所的數據與內容支持，從第三方移動App安全及信息泄露的角度共同撰寫了這份《2017年度移動App安全漏洞與數據泄露現狀報告》。

在數據研究和分析過程中，我們選擇了金融、購物、醫療、社交、遊戲、娛樂、交通與出行、生活服務等八個分類的892款Android平台的流行App作為樣本，藉由啟明星辰的應用自動化安全測試平台，來發現移動App存在安全風險與漏洞。與此同時，我們以企業組織的移動App開發者、項目管理人員和安全專家為對象，下發近200份問卷，嘗試解讀造成移動App安全漏洞和問題的根源——企業對象涵蓋大中小不同規模；另外也針對移動App普通用戶下發近300份問卷，了解應用安全在普通用戶中的需求和位置。

這份報告旨在從移動App安全漏洞和數據泄露的角度來窺見移動App的安全現狀，以及移動領域的開發者和安全專家在App安全開發方面的不足，並期望以此幫助開發者和安全專家，以及項目管理人員在進行相關App安全決策時給出參考和指引。

值得一提的是，雖然這份報告並不專註於企業級App的安全問題可能對企業安全造成的危害，而更多將注意力集中在消費類移動App的漏洞、數據泄露、仿冒等安全風險的層面，但BYOD工作方式也能夠讓這類移動App對企業安全造成影響；且報告對於企業級App開發亦有一定的參考價值。

在《中華人民共和國網路安全法》於6月1日起開始施行的當下，相關移動App開發與安全的企業組織有義務「防止網路數據泄露或被竊取、篡改」。無論從安全問題造成的用戶和企業直接損失，挽救企業信譽的角度，還是按照相應規範進行App開發、遵守《網路安全法》的角度來看，移動App漏洞、數據泄露和其他安全問題都應該成為企業組織、開發者和安全專家重視的問題。

報告Key Findings

? 過往10年移動App在數量和規模上的爆發，為攻防雙方開闢了新戰場；

? 移動App更出色的安全性可以成為吸引和留住用戶的差異化競爭要素；

? 用戶對於移動App安全普遍更為樂觀，而開發者則恰好相反；

? 65%接受測試的移動App至少存在1個高危漏洞，平均每個App就有7.32個漏洞；

? 娛樂類移動App成安全漏洞重災區，每10個娛樂類移動App就有9個至少包含一個高危漏洞；

? 社交類App被仿冒的幾率相較其它類別平均高出10倍以上，僅社交類App被仿冒佔比達到測試中所有仿冒移動App的近六成；

? 多達88%的金融類App都存在內存敏感數據泄露問題；

? 移動App安全問題的主要原因在於開發和安全的分化：69%的開發者認為安全是其他人的工作；

? 在開發者看來，強制合規仍是移動App安全的最大驅動力，這或為造成當前移動App安全問題的一大原因。

2007年Android系統出現至今，移動App安全走過了幾個時代。2012-2014年間，安全加固服務開始嶄露頭角。不過彼時的安全加固只解決了客戶端和代碼安全問題，對隱私、業務、通信安全而言並沒有很大的幫助；到2015年開始有了移動App安全檢測服務，這個階段的安全加固引入了自動化審計，對通信安全有了一定的幫助，但隱私安全和業務安全也依舊是問題。

就安全部分，移動App安全加固現如今的發展階段引入了「安全生態鏈」，所以順勢出現了融入到整個App開發上線周期鏈中的全套安全服務。這個生態鏈包含了安全SDK組件、安全編譯器、安全檢測與風險評估、安全加固、渠道檢測和智能雲更新。該生態鏈對行業而言是有價值的。如報告中提到的內存敏感數據即貫穿移動應用產品的整個生命周期，僅僅採取單一的App加固解決方案並不能完全杜絕敏感信息泄露問題。

這個「生態鏈」的本質在於將安全融入到開發周期中，試圖解決開發和安全分割的現狀。不過，這仍是需要開發團隊或項目管理人員，以及配套的安全專家真正建立起足夠的安全意識並跨出一步，做出配合方能見效的。

本次報告從移動App安全漏洞、App仿冒、數據泄露等安全問題入手，以統計和測試數據為依託，對這些安全問題的現狀進行解讀和分析，期望從Android平台移動消費類App客戶端安全問題的角度，對移動安全進行管中窺豹，並讓所有讀者了解移動App安全問題的緊迫性。

出品

FreeBuf研究院

指導單位

中國泰爾實驗室

內容及數據支持

漏洞盒子

啟明星辰

中國泰爾實驗室

中國信息通信研究院安全研究所

關於FreeBuf研究院

FreeBuf.COM是斗象科技旗下、國內領先的互聯網安全新媒體，每日發布最專業的安全資訊、技術剖析，分享國內外最新安全資源，是最受安全從業者與愛好者關注的網路安全網站與社區。FreeBuf研究院則集結了行業內經驗豐富的安全專家和分析師，常年對信息安全技術、行業動態保持追蹤，呈現最專業的安全行業現狀和趨勢分析。

關於啟明星辰

啟明星辰信息技術有限公司成立於1996年，由留美博士嚴望佳女士創建，是一家擁有

自主知識產權的網路安全高科技企業。作為與國際接軌、勇於創新的先行者，啟明星辰公司致力於提供具有國際競爭力的自主創新的安全產品和最佳實踐服務，幫助客戶全面提升其IT基礎設施的安全性和生產效能。

<點擊閱讀原文下載完整版報告>

* FreeBuf研究院榮譽出品，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！