2015年安卓APP安全漏洞分析报告(共3篇)
篇1:2015年安卓APP安全漏洞分析报告
2015年安卓APP安全漏洞分析报告
2015年,CNNIC统计显示我国手机网民规模达6.20亿,手机上网人群的占比提升至90%。随着移动端用户群体的快速扩张,除了一开始就注重移动市场的新互联网企业之外,传统企业也正不断提高对移动端的重视程度并加大投入,移动端市场的竞争呈现白热化趋势。
截止2015年12月31日,安卓APP总体数量已超过140万。据Yahoo Flurry 统计分析,2015年安卓APP整体同比增长超过14%,其中面向细分市场的个性化APP爆炸性增长达332%。新闻杂志、商务理财和旅行出游等APP,2015年的增长率也超过100%。
移动APP已经全面覆盖衣食住行,“指尖社会”的安全风险也随着急遽聚拢的财富而不断推高。
不安全的“指尖社会”
互联网的PC端安全经过十几年的实践,已经较为完善,但是移动端安全目前还是短板,传统的PC端安全防护措施无法有效保障移动端安全,作为移动端重要载体的APP因此安全事件频发。
大量安全事件中,APP的安全漏洞被黑客作为攻击入口,通过侵入APP获取用户隐私以及企业数据库存储的数据,损坏用户和企业的利益,影响恶劣。
2015年,APP安全事件泄露的信息以用户的姓名、地址、账号、密码、手机号等信息为主,尤其金融理财和生活服务类的APP是安全事件爆发的重灾区。仅以乌云漏洞平台曝光的安全漏洞为例,2015年,超过10家知名APP被曝存在安全漏洞可导致超1000万用户隐私泄露,这些安全漏洞的种类不一,漏洞的利用攻击手法也不同,但是攻击的最终指向目标都是用户隐私及企业数据。
触目惊心的安全现状,超9成APP含有安全漏洞
截止2015年12月31日,网蛙科技对当前市场上129万个多类别的APP做了全面的漏洞扫描检测,检测结果显示,App漏洞总量超过1700万个,仅程序代码中硬编码开发者密码(5744940个)、Sqllite SQLlnject漏洞(2196703个)与ContentProvider SQL lnjection漏洞(1243679)三类漏洞数量就超过918万个。
据检测结果,129万多个被检测APP中,超过95%以上APP含有不同类型的安全漏洞,平均每个APP含13.8个漏洞,高危漏洞比例达16%。
2015年高中低危漏洞分布图
1、APP 九大行业榜单产品,平均漏洞数达到9.3个
网蛙科技根据2015的APP年度分类排行榜,经综合考虑,选取视频、理财、音乐、电商、新闻、社交、自拍、工具以及游戏九类APP榜单(参考艾媒咨询、艾瑞网、互联网周刊、猎豹移动等APP排行榜榜单),共计90个APP产品进行了检测。
据检测结果,90个APP榜单产品(以发行的最新版本漏洞扫描检测结果数据为准),漏洞总数达到847个,平均每个APP含有9.3个漏洞。分行业计,游戏行业所含漏洞数最高,平均漏洞数目超过12个,安全隐患相对较大;金融理财、电商、社交这三个行业的平均漏洞数都接近或超过10个,同样需要高度重视。
这些被检测的APP中近70%面世时间达3-5年,具备成熟的市场口碑,当前用户规模和资产规模都高于同行业其他产品。它们高于普通APP的商业价值也更容易吸引黑产注意,如果遭遇安全事故,对APP有形的资产和无形的品牌都将造成严重损失。网蛙科技建议APP开发者们加强安全工作,切实提高产品的安全性,更好地维护APP用户利益和公司的品牌形象。
2、应用商店安全检测不到位,无法完全保障上架APP安全
网蛙科技对当前市场上两类应用商店的APP进行检测,分别为豌豆荚、应用宝、360手机助手等知名独立第三方应用商店,以及小米应用商店、华为应用市场等终端厂商自建的应用商店。
据不完全统计,截止2015年12月,手机应用商店漏洞总数超过1700万,单个应用商店最高漏洞数目超过493万个,其中第三方应用商店漏洞数目平均达到57万个,终端厂商自建的应用商店漏洞数目平均达到64万个,第三方应用商店的安全系数相对高于终端厂商自建的应用商店。
据艾媒咨询,从当前市场APP下载情况来看,APP下载渠道占比最高的为第三方应用商店(占比54%),其次为终端厂商自建的应用商店(占比34%),这两大类应用商店是当前用户下载APP的主要渠道。由于APP已经实质性地触及个人财产信息与隐私信息等,用户对APP安全性的要求不断提高,与此同步上涨的是用户对应用商店安全工作的不满情绪。截止2015年12月,超过60%用户认为应用商店应该对商店内恶意软件的出现负审核不严的责任。2016年,应用商店需要在安全能力提升方面做更多工作。
部分手机应用商店APP漏洞检测结果 3、19类行业漏洞检测,游戏和生活服务类APP危险系数最高
网蛙科技对当前市场上包括金融理财、网络购物、商务办公等19类APP进行了分类漏洞统计。需警惕的是,直接涉及数据资产、用户隐私等高商业价值信息的行业,APP检测结果显示漏洞分布数目远高于其他行业。
据检测结果,直接关联数据资产(如银行卡、移动支付等信息)的APP行业漏洞数目最高,游戏类APP漏洞数目高达457万,生活服务类APP以250万的漏洞数目排名第二,购物、金融理财类APP漏洞数目均超过80万;直接关联用户隐私(如姓名、联系方式信息)的APP漏洞数量也非常高,需要引起重视,社交、办公类APP漏洞数量分别达到139万和100万,而影音、教育类的APP漏洞数量也均超过50万。
近几年由漏洞引发的APP安全事故已经表明,无论是哪个行业,漏洞对APP安全都具有“一票否决权”。安全是一切发展的基础,APP开发者需要加强安全工作,不可掉以轻心。
2015年全行业APP漏洞分布图
给移动APP漏洞防护的四点建议
移动APP的安全问题涵盖开发、发布、维护等,贯穿APP产品的整个生命周期,因此网蛙科技针对当前移动APP的安全现状,提出以下几点建议,供行业从业者参考:
(1)安全工作,从开发抓起
当前APP市场呈现井喷式增长,跑马圈地的格局导致不少APP开发者因为急于占领市场,而相对忽视了APP开发时的安全工作。
网蛙科技检测中发现超过20%的漏洞是由于开发者的疏忽导致的,认真遵循APP开发的安全编程规范是完全可以避免的。
(2)应用商店,把好安全关
当前市场上,APP主流发行渠道为应用商店,其中第三方的应用商店占比最高。应用商店应负起责任,为上架的APP进行更全面可靠的安全测评。满足用户的安全需求,同时也为APP开发商进行最后一道安全把关。
具体可借鉴欧美地区应用商店,对于在其应用商店上架的APP,设置安全性的权重,将安全性高低与APP信誉相关联,既维护了用户对APP安全的知情权,更提升应用商店自身的品牌形象。
(3)即时监测及时修复
随着移动互联网渗透率的大幅提高,移动APP漏洞的曝光频率持续走高。漏洞曝光之后,厂商应高度重视并及时响应,在尽可能短的时间内推出相应的漏洞修复措施。
当前市面上仍有相当大比例的APP漏洞是属于早期已有尚未修复的漏洞,网蛙科技此次检测就有超过35%的漏洞是属于此类漏洞。建议APP开发者应持续关注最新安全信息,及时修复漏洞。
(4)防范0-day漏洞,使APP更安全
信息安全意义上的0-day漏洞是指软件厂商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。高危险级别的0-day漏洞如果被互联网不法分子利用,会对软件产品产生巨大的威胁,极大的影响用户体验甚至损害品牌价值。如2015年爆发的Hacking Team事件,该公司就是主要通过0-day漏洞进行不当盈利,此次事件中泄露的漏洞数据对全球众多公司造成了严重影响。
而与此相对的是,绝大部分的APP开发者并不具备0-day漏洞挖掘能力,同时因为漏洞挖掘耗时久,从商业效益上说,企业自行挖掘0-day漏洞的性价比不高,建议APP开发者与0-day漏洞研究团队合作,借助专业的力量,打造更加安全的APP产品。
APP安全,从防护漏洞开始
2015 年,云计算、物联网、大数据技术和相关产业迅速崛起,互联网移动端的发展将占据越来越重要的位置,作为载体之一的APP的安全更是互联网安全至关重要的一环。
国家对APP安全的规范工作正在不断建设与完善。2014年4月至9月工业和信息化部联合公安部、工商总局在全国范围开展打击移动互联网恶意程序专项行动,将互联网恶意程序设为重点打击治理项目之一,督促应用商店落实安全责任。国家网信办主任鲁炜也曾公开表示,网信办将出台APP应用程序发展管理办法。当前APP市场乱象的生存空间将不断缩小,APP开发者应提前部署应对措施。
APP安全,是国家、开发商、广大用户三方面共同的需求。而随着APP市场发展周期的推进,错综复杂的安全情况,越来越高频的安全威胁,都预示着APP安全攻防战场焦点将从漏洞防护开始。参考互联网移动端安全发展的轨迹,APP开发者与独立的第三方APP安全企业合作将成为互联网移动端安防的主流趋势。
篇2:2015年安卓APP安全漏洞分析报告
一天后,微博中开始出现网友恶搞调侃乐商店的PS图,众网友纷纷将目前手机中流行游戏“改良”为,并加上乐商店的logo并@乐商店,其中包括愤怒的小鸟之愤怒的女优,找你妹之找女优等等。事件的高潮部分在于乐商店官方微博在发现自己被调侃后,竟将所有网友的PS图做成合集,并自嘲的对此事进行表态,并用了相当隐晦的文字,并且宣称要推出官方版APP,一时将乐商店推致舆论的风口浪尖。乐商店自我调侃为哪般
在事件的源头,一个普通的Android用户对众多应用市场APP做了横向评测,其中包括乐商店、91、机锋、豌豆荚。乐商店沉默后对此进行了自嘲式回应,其它应用市场均选择了缄口。从这个评测内容上来看,可以得出结论:目前所有Android手机的应用市场,均不同程度存在APP,甚至,而乐商店之所以被单独点出,旨在把握好了“底线”二字。且不说的APP是否该存在,以及存在的方式,单从安全系数方面就让人堪忧。这些APP也是广告、积分墙甚至是病毒的源头。这也反应出目前Android手机市场应用种类的混乱之治。乐商店此次的回应虽引起了众多网友的吐槽,以至于关联到联想,但由此也让笔者对联想刮目相看,对于互联网时代的企业而言,永远不变的风格也许真的跟不上时代了,而这种机动且自嘲的回应,刚好有了一些“娱乐”的性质也同时反应了乐商店对互联网事件敏锐的嗅觉。
手机APP分级制度是否应推出?
众所周知,国内的电影分级制度一直是近年来争论的焦点,因为随着电影市场的不断升温,覆盖年龄层面的扩大,亟需分级制度来保护青少年的身心健康。同样作为覆盖众多年龄层的手机应用,内容也鱼龙混杂,APP就是其中之一,为了保护青少年身心健康发展,手机应用市场的软件同样需要分级制度。这个事件也给手机APP分级制度敲响了警钟。Android应用市场应拿何种态度应对APP?
从评测中可以看出,软件已经遍布在所有Android市场,在分级制度尚未建立的时刻,Android市场的负责方应该何种态度应对?事件主角乐商店选择了坦然面对,并做了自嘲式调侃,既然存在,承认的同时进行调侃。乐商店运营总监@崔巍 LEX 在新浪微博中回应:“非色情,后者我们限制,前者是人性所需,这事儿与故事和事故一样”。也有网友评论:不反对有“底”的。5000年中华文化里也不缺乏类似的著作。凡事要有度,这个度是大众能够接受的,也就是社会能容忍的。移动互联网是个新兴的行业,对于适度还需遵循一定的范围,不能一棒打死。
篇3:2015年安卓APP安全漏洞分析报告
安卓App开发者需要了解的2012五大应用趋势
每天世界各地的消费者都会从联网设备上下载千千万万的应用,这些联网设备的数目在不断增长,包括笔记本、平板电脑、电子阅读器、智能电视以及智能手机。现在大多数应用发布者都发现他们处于一个相似的境地中:他们已经做了决定,到底是要为每个操作系统开发native apps还是使用HTML5构建一个web app,并且他们知道需要从什么发布渠道发布产品。但是,他们仍然面临的一个最大的挑战是如何让产品拥有需求。因此,在开发产品的时候,考虑一下未来的产品趋势,对于产品的长久生命力极其带来的经济收益是有用的。
在过去的几年里,全球的app开发者、发布者以及商店发现这个产业正受一个全面影响科技消费的趋势控制:消费者的选择。消费者可以对一个app给予正面或者负面都评价,并从他们喜欢的商店中选择应用——一切都是按他们的喜好来进行。例如,一个Android用户可以从他们选择的app store中下载或者浏览应用,包括Android Market,他们手机网络的app store,或者是其他来源,比如getjar.com。即使是“即开即用”的Apple设备的用户也可以从Apple的App Store下载应用或是使用一个HTML5 app。
所以在消费者占据主导地位的全球市场中,应用发布者以及开发者在2012年需要考虑一些趋势,以便让他们的应用能有较高的需求率,满足消费者需要,并获得尽可能多的利润。
1.应用货币化(App monetisation)应用货币化是指当app在用户手中以后仍然可以源源不断产生消费。当一个应用发布者已经在各种应用发布渠道中站稳脚跟以后,随着他们更好地理解了app stores的协议的条目和款项,货币化就应该是他们下一步需要关注并考虑的了:现在,65%的“免费增值”游戏资金都来源于应用内部购买(in-app purchases),Apple的应用收入的72%也来源于此。因此有一个稳固的货币化政策的发布者将会在2012年在市场中占统治地位。货币化的第一步是理解你的应用程序的用户群目前的终身价值。下一步,让这个价值更高。增加消费者终身价值的货币化技巧包括house ads和广告网络的应用内部广告(in-app advertising),基于应用内部激励(in-app incentive)的广告,促进其他应用发布的应用内部广告(in-app advertising),以及出售增值产品和服务的应用内部购买(in-app purchases)。
2.安全
现在媒体关于网络攻击的报道让联网用户对于安全问题更加敏感。例如,大多数iPhone用户并不想“越狱”,为此他们会修改他们的设备,以减少被暴露的威胁。他们认为单点登录(single sign-on)和社交群组登录(social sign-on)提供更大安全性。安全的底线就是用户希望他们在网络上的体验越安全越好。
泽思网络 – 移动营销全案服务商
但是,HTML5应用也并非是没有缺陷,其中一个就是能见度。HTML5的应用发布者不能指望通过app store来推广应用,所以需要更多方式来达到更大范围的推广。另外,有一些HTML5的app stores,他们将会从终端用户获得更多注意。这将帮助HTML5的应用发布者应用能见度和推广方面的挑战。
5.应用相关的分析(In-App analytics)由于应用市场逐步成熟以及联网用户开始越来越多地行使他们选择的权利,用户对应用的忠诚度以及用户接触到应用的可能性可能会成为应用发布者在2012年的最大挑战之一。分析可以帮助让用户更长时间地保留一个应用并持续使用它。这可以减少兼并开销并增加消费者的终身价值。
为什么呢?因为越来越多的应用发布者都将用户根据他们的生命周期进行了货币化,并通app store的目标营销来获得客户,并个性化应用内容。应用内部的分析是其中的关键组件,可以让这些趋势持续下去,并带来收益增长。网站分析现在已经成了网络行为洞察的实际标准,类似地,由于应用现在对于应用发布者来说就是一个在线商店,因此应用内部分析(n-app analytics)可以让应用发布者了解消费者,他们可以依赖应用内部分析来充分利用用户体验并货币化应用生命周期。
相关文章:
幼儿园毕业典礼主持词煽情 幼儿园毕业典礼主持词(十三篇)01-20
安卓数据库实验报告01-20
安卓专业毕业论文题目01-20
节约粮食拒绝浪费从我做起倡议书01-20
山西大学中华茶艺传承协会成立大会01-20
幼儿园毕业典礼主持词串词 幼儿园毕业典礼主持词煽情(优质十四篇)01-20
计算机控制技术与应用论文题目01-20
2025年幼儿园毕业典礼 主持词 幼儿园毕业典礼主持开场词(3篇)01-20
初中毕业典礼主持词 毕业典礼主持词幼儿园(10篇)01-20
中职计算机应用论文01-20