2021年4月17日,由OWASP中国举办的“智移动 * 新安全-2021移动应用安全论坛“圆满结束,论坛上,通付盾作为受邀嘉宾,重磅发布《通付盾行业灰应用态势感知季报(2021Q1)》(以下简称‘季报‘),与此同时,通付盾移动安全合规专家围绕“灰应用检测”为核心,向参会来宾们详细解析灰应用的特征及如何利用相关技术挖掘与分析此类应用。
以下是《季报》核心要点。
灰应用调查总体背景情况
依托通付盾先进的决策引擎技术替代人工检测,通付盾灰应用检测平台针对各大应用市场热门排行榜上共计3450款应用进行了重点批量检测,在此基础上,通付盾北斗团队分别从用户信息收集合规性及内容合规性检测两大检测维度,针对主要权限申请情况、动态权限调用情况、用户信息收集情况、应用类型分布、应用形态、应用传播方式、市场特点等进行了重点安全合规分析。
1) 权限申请情况分析
通过分析上述3450款应用权限申请检测结果后发现,共申请权限总类达5770种,其中约67种敏感权限,自定义权限达4080种;对申请的67种敏感权限进行统计发现,读取外部权限、读取电话状态的申请频次最高,分别有94%,93%的应用申请了该权限,其次是使用相机和定位的权限申请,均在80%以上。
图1 各类权限申请情况统计
2) 动态权限调用情况分析
通过对这3450款应用进行动态权限合规检测后,发现应用调用次数最高的分别是读取通话状态,读写外部存储和获取位置信息三类权限。
图2 各类权限调用情况统计
3) 用户信息收集情况分析
针对获取地理位置和获取手机状态两项权限的单独分析发现,共有2150款应用申请了获取地理权限,这些应用根据应用类型划分,申请最多的是电子图书和工具管理类应用,其次是网络支付、新闻资讯等。根据《规定》,仅地图导航、网络约车、餐饮外送、邮件快件寄递、服务旅游、用车服务类可以申请地理位置权限。这类权限违规情况极为严重。
图3 各类应用地理位置权限申请情况统计
此外,共有95款应用申请了获取手机号码权限,这些应用按类型划分后主要集中在地图导航、网络支付、电子图书、网络社区和短视频中。根据《规定》,电子图书、短视频、安全管理等无须个人信息。
图4各类应用申请获取收集好吗权限情况统计
4) 内容违规类应用检测结果分析
通过上述3450款应用检测结果的汇总及分析,共发现疑似内容违规数据2360条,疑似存在违规问题的应用448款,将这448款应用按内容违规的类别划分,疑似涉黄类124款,疑似非法广告类225款,疑似暴恐类2款,疑似违禁类29款,疑似涉政类98款,疑似恶心类0款。季报对每一类应用类型进行了典型案例分析,并对它们的传播方式、分布市场特点等进行了针对分析。
图5 违规问题应用分布图
最后,通付盾北斗团队专家对灰应用监测情况作了总结,通过对灰应用内容违规情况和超权用户信息收集情况的分析,安全专家发现,内容违规应用市场占有率低,但是检测难度大,危害性广,这不仅需要市场部门的大力监管,更需要先进的检测技术发现这类违规应用;存在超权用户信息收集的应用市场分布较广,需要加大力度进行统一整治管理。
灰应用存在在特定区域及时间发生内容违规、功能违规、窃取用户信息、携带恶意病毒等问题,灰应用在传播方式、生存方式上具有很强的隐蔽性,给用户的隐私保护带来了更多的挑战,给用户的身心健康及生命财产安全也带来了极大威胁。
随着国家对移动应用市场的监管力度不断加强,灰应用检测必将受到越来越多的关注。通付盾北斗团队将不断深入灰应用检测的技术升级与检测模式创新,为建设健康和谐的移动应用市场贡献一份力量。
关于通付盾灰应用检测平台:
通付盾灰应用检测平台是一款面向移动应用开发者、监管单位、测评机构、应用市场等推出的移动应用安全合规检测平台,结合相关国家标准和金融、通信等细分领域行业标准,利用符号执行、动态沙箱、动静结合检测引擎等技术手段,提供高可用、高性能、高安全的自动化移动应用安全合规检测服务,精准识别移动应用中存在的安全漏洞、恶意代码、违规信息采集行为、违规内容,给出安全合规整改建议,帮助提高移动应用的安全性与合规性。
关于通付盾北斗团队:
通付盾北斗团队(负责安全合规产品)于2013年成立,8年来专注于移动应用全生命周期的安全研究,积累了丰富的移动应用安全实战经验,不断保持技术研发与创新,致力于为企业提供移动应用全生命周期安全工程解决方案。自研了符号执行、动态沙箱、大数据分析、VMP虚拟机保护、iPA动态壳保护等多个核心技术。团队所研发产品已服务于上千家各行业客户,深入到政府、军工、能源、金融、运营商、教育、医疗、传媒、交通、互联网等行业,为数十亿级移动终端提供了移动应用安全保障。其中移动应用安全合规检测成功服务国测、军测、公安和工信部,实现国家级测评机构全覆盖。