1.概述
近年来,随着移动智能终端的迅速普及和移动应用的多样性变化,我国移动互联网得到了极大地促进和发展,但同时滋生的移动安全问题也越来越凸显,国家层面也越来越重视。习近平总书记的4.19讲话标志着网络安全已经上升为国家战略,以《网络安全法》正式实施为标志,移动互联网、关键信息基础设施保护、数据跨境流动、安全应急预案等相关法规的出台,依法保障网络安全进入新时代。
为深入贯彻习近平总书记关于网络安全的系列重要讲话精神,加强上海市电信和互联网行业网络与信息安全工作,上海市通信管理局根据《网络安全法》等有关法律法规组织开展了2018年上海市电信和互联网行业网络安全检查工作。爱加密作为安全检查的技术支撑单位,将配合上海市通信管理局针对重点行业的APP开展安全检查工作,保障移动应用的信息安全。
2. 移动应用安全现状分析
为深入了解当前企业移动应用的现状,爱加密联合上海市网络安全专业研究机构,对上海市互联网企业近百款活跃APP进行检测分析,从APP安全加固、漏洞分析等方面进行检测,多个维度展现当前移动安全应用现状。
2.1. 安全加固分析
经过爱加密安全检测系统的全面检测,此次检测的APP安全加固情况分布如下:
样本加固情况分布
从上述APP安全加固检测情况来看,77%的APP应用未采用安全手段进行防护,剩下的23%基本上也都是采用的免费加固服务,防护力度有限,由于Android开源的环境,导致Android的整体环境都存在很多不安全的因素,同时用户在移动APP客户端的便捷应用,也给用户带来了巨大的安全隐患。未经过安全加固的APP存在被静态反编译、恶意篡改、二次打包、动态钓鱼攻击等多个安全隐患。
应用如果未经过安全加固防护,在业务活动中,交易劫持、信息泄露、业务欺诈等安全问题则会层出不穷,黑客采用静态破解可直接逆向出客户端所有的功能代码、加密算法以及与服务器通信的相关方法及URL等敏感信息。可以随意进行恶意代码注入、篡改欺骗用户甚至攻击服务器;黑客采用动态攻击则进行相关敏感数据的窃取,如用户核心账户信息、服务器端相关信息等。造成大量用户隐私泄露、企业经济利益受损,对企业及社会均造成难以估量的影响。
汇总整体APP的加固调研情况来看,应用的安全加固覆盖面较少,未加固的移动应用占绝大多数,用户极可能下载的应用都是未经过加固防护的,整体的安全加固防护现状不容乐观。
2.2. 风险漏洞分析
通过对移动APP的漏洞和风险的统计分析,从底层数据的展示,全方位了解对于移动风险的整体态势,下图为送检样本的整体APP风险漏洞分布图:
样本整体风险分布
高危漏洞占比分布
从检测结果上来看,此次检测共检测出267项高危漏洞,占整体样本分布的32.4%,其中高达29.5%的应用存在6个以上的高危漏洞,61.3%的应用存在1到5个高危漏洞,仅仅2.4%的应用不存在高危漏洞风险。中风险漏洞和低风险漏洞分别检测出304项和253项,占整体样本分布的36.8%和30.7%,几乎所有应用都或多或少存在着安全漏洞,这些安全漏洞如果未进行及时修复,则会危害应用以及使用者的隐私信息,间接造成财产损失。
高危漏洞的爆发更多集中在游戏和金融行业,主要体现在没有对Java源码进行加花保护,So文件未进行加固,应用存在数据库注入漏洞等风险,这些高危漏洞会直接威胁到移动应用的安全性,如果没有相应的加固策略,一旦被黑客攻击,将会对企业移动业务产生巨大的威胁。比如针对Java代码加花检测来说,企业没有进行Java代码加花,黑客就可以通过代码反编译工具对代码的逻辑以及关键数据进行窃取,例如账号、密码等敏感信息的非法获取,这些则会危害到整体移动应用的安全稳定运行。
针对中危漏洞而言,根据检测结果分析,主要漏洞是ACTIVITY权限漏洞, ACTIVITY权限关系到安卓系统的进程活动权限,对于移动端的应用,企业应该尽可能的让ACTIVITY权限最小化,这样才能从系统层面杜绝权限的滥用造成的风险。中危漏洞同样也在威胁着我们移动端应用的安全运营,企业应该从开发到发布直至最后的运营,严格按照安全标准进行开发运行,杜绝中危漏洞的发生。
低危漏洞风险相对高危和中危漏洞危害较小,但依然存在风险威胁,APP主要存在滥用风险、敏感词汇风险等,针对企业移动应用安全,可以采取敏感词检测、权限最小化等加固措施进行加固,保障整体移动应用的安全。
纵观整体移动应用风险漏洞分布,高危漏洞分布呈现两极分化,未采用相关防护的应用高危风险漏洞较多,多个层面存在高危漏洞,高危漏洞较少的应用防护做的还不够,未能全面防护系统层面的漏洞风险;中危和低危风险分布较为分散性和全面性,同样危害移动应用安全,安全的木桶效应原理造就企业安全管理者应该全面关注APP的各个层面的安全问题,移动化安全建设任重而道远。
2.3. 行业应用分析
随着移动计算时代的到来,移动应用所带来的不仅仅是新兴的办公形势,也将各行业数据安全边界无限延伸,脱离了企业内部的管控环境。此次送检APP涵盖多个行业多种类别,包含游戏娱乐、金融服务、社交工具、媒体资讯等多个分支,但移动应用质量参差不齐,行业安全风险逐渐扩大。
游戏和金融行业由于其行业的特殊性,日活跃基数庞大以及金融的敏感性,逐渐成为高危的显著行业,应加强对于此类行业的应用安全保护和监督,促进行业的移动安全建设工作。
3. 移动应用系统的防护策略
3.1. 整体的安全策略
目前国内很多企业是围绕单点解决方案来构建安全基础设施,这在很大程度上是因为此类解决方案只需要数额较小的短期投资。然而碎片化的方案防护无法为企业提供真正可靠的安全保护,维护碎片化基础设施可能会带来更高的长期成本,企业应该寻求可以更全面的应对日常安全威胁的集成化解决方案,并且通过将安全解决方案融入业务运营流程,并使其与公司目标保持一致,增强业务防护范围和能力。
1、使用边界防御来阻止各种攻击和风险的方式已不是最有效的解决方案,安全负责人应采用以漏洞威胁为中心的安全架构方案,通过协同安全体系来实现威胁的预防、监测、响应。将工具协同防御作为安全战略的关键组成部分,需要全面、多维度、多层面的工具融合。
2、安全防护则需要全面覆盖整个攻击过程,包括事前、事中和事后。覆盖攻击全过程所需的基础之一包括自建与外部威胁情报的实时获取,这些威胁情报能够为业务安全、运维安全、运营安全提供实时准确的分析与定位。
3、重视防护的同时,还需要关注威胁的检测和响应,加强智能联动检测与主动防御响应方案的投入和建设。注重检测与响应时间效率,为企业减少损失。
3.2. 合规性安全策略
随着科技的发展,信息系统与云计算、大数据、移动互联网、物联网等这些新兴IT技术的结合与创新,信息安全的边界变得越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势,个人以及企业的隐私安全也越来越受到国家层面的立法保护,作为企业信息化管理者需要更加关注相关标准要求的差异性,实现自身网络、系统安全保护的义务。
1、重点关注对个人信息的非法收集、滥用、泄露等问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
2、加强行业数据风险管理,保障数据安全、可靠、稳定运行,通过建设互联网渠道监控与隐私内容检测,尽早发现安全隐患,保障企业业务合规。
3、在研究常见安全漏洞以及流行的攻击技术基础上,结合管辖单位之间的通报预警流程机制,解决“安全防御孤岛”,对网络威胁的行为通过大数据分析、行为建模分析、威胁信息共享等方式,直观串联整个威胁检测、响应与防御过程,帮助安全人员及时有效的去预警、防范、处置及溯源内外部的威胁。
3.3. 移动应用安全策略
移动应用的发展对于企业业务的有良好的促进作用,同时企业信息管理者也应意识到应用安全的目标不仅仅是降低安全风险,由于行业的敏感性以及全球移动数据流量的暴增,对于移动应用安全成熟度和合规性设计有了更高的要求。应用生命周期的不同阶段都需要响应的安全设计来提供保障,全生命周期范围也不仅局限在企业内部,终端用户使用应用的不同场景也被纳入到未来移动应用安全管理的范围之中。
1、信息管理者应从源头开始进行代码安全审计,发现程序中存在的安全漏洞、程序错误(BUG)及代码质量缺陷,能够大大降低应用上线后期问题修复的成本。安全管理者应将源码审计纳入到移动安全开发体系过程中,在代码开发阶段持续进行源码审计是移动应用体系化安全建设中非常重要的一环。
2、移动应用安全检测作为常态化的安全业务在企业中已经广泛配置使用,在运行环境和业务环境高速发展的背景下,安全检测应当扩展自身检测范围深度和广度,大力提高精细化检测(敏感内容检测、病毒检测)与场景化检测(崩溃检测、欺诈检测)的安全能力,为企业带来更全面的安全防护。
3、信息管理者可以使用终端威胁检测技术监测提供给终端用户的应用程序在运行过程中可能遭受的攻击事件。通过记录攻击事件的来源、目标、过程及攻击结果,对疑盗取用户隐私数据、修改业务逻辑、添加广告插件等恶意行为进行能够预警、阻断、并对威胁源进行精准定位和分析。
下一篇: 爱加密提醒:面对高考诈骗,你应该这么做