当前位置:100EC>数字研究>《移动互联网应用安全白皮书(2017年)》(全文)
《移动互联网应用安全白皮书(2017年)》(全文)
发布时间:2018年03月01日 14:08:05

(电子商务研究中心讯)移动互联网应用安全白皮书

(2017年)

广东省公安厅网警总队

2018年1月

目录

前言3

一、2017年APP安全总体状况5

二、移动应用安全监管情况6

(一)安全立法情况6

(二)安全监测情况10

(三)媒体曝光情况30

(四)违法犯罪查处情况31

(五)实名制落实情况34

(六)行业自律情况35

三、移动应用安全态势分析36

(一)安全状况不容乐观37

(二)网络黑产链条滋生39

(三)安全治理有待推进40

四、2018年工作展望41

(一)加强安全意识教育41

(二)加强安全监督管理42

(三)加强监测平台能力42

(四)加强违法犯罪打击43

(五)强化媒体宣传曝光43

(六)发挥行业自律作用43

附录一常见的移动网络犯罪手法45

附录二 2017年移动安全热点事件47

附录三移动应用安全监测方法58

致谢66

关于广东省公安厅公安网警总队67

 

前言

随着移动互联网的高速发展,移动应用服务(以下简称“APP”)已成为互联网重要的信息传播渠道和公众服务平台,据不完全统计,我国境内现有APP 2200余万个,移动应用软件分发平台330余家,年移动互联网应用经济规模超过2500亿元,移动互联网应用服务已成为大众创业、万众创新的重要载体。但也应看到,移动互联网在带来便利的同时,APP软件中木马病毒、恶意程序和违法有害问题日益突出,对互联网健康有序发展和广大人民群众的切身利益带来了现实威胁和危害,突出表现在:一些不法分子利用APP传播计算机木马、病毒,窃取网民个人信息,进行赌博、诈骗和盗窃等违法犯罪活动,利用APP直播进行淫秽色情表演,利用具有信息发布、社交功能的APP传播各种谣言和违法信息;一些APP发布平台和运营者安全意识淡薄、安全管理能力不足,管理防范措施不完善。

为规范APP市场管理、有效防范和打击违法APP,保障人民群众合法权益,促进移动互联网行业健康有序发展, 2014年以来,在公安部网安局的授权和指导下,广东省公安厅网警总队成立“广东移动互联网安全监测中心”(以下简称“监测中心”),建设“移动互联网应用安全管理平台”(以下简称“管理平台”),承担全国APP安全监测专项任务,与全国公安机关网安部门及重点APP发布平台建立警企协同、全国联动的违法移动应用快速处置工作机制,全面开展国内APP安全监管工作,累计监测APP 2200万余款,清理下架违法违规应用160万余款,将6万余款应用列入黑名单,通过新闻媒体曝光74款存在传播违法有害信息、破坏用户数据、窃取用户信息等突出安全问题的APP,全国各地公安机关网安部门关停管理混乱、安全责任不落实、问题突出的移动APP发布平台130余家。

一、2017年APP安全总体状况

2017年,广东省公安厅网警总队加大安全监测力度,依托监测中心累计将国内330余家APP发布平台已上线的2200余万款APP纳入监测范围,抽检APP 343万余款(占15.11%),发现存在恶意程序代码、高危安全漏洞、内容违规、仿冒盗版等违法违规行为和风险的移动应用APP 50723款,其中恶意程序APP 2046款(占4.03%)、高危漏洞APP7610款(占15%)、内容违规APP 114款(占比0.22%)、盗版仿冒APP 40953款(80.74%),如(图1-1)所示。

违法违规移动互联网应用APP数量(图1-1)

全年违法违规APP地域整体分布情况如(图1-2)所示,从地域分布来看,广东、北京湖南等APP发布平台较多的地区,违法违规APP检出量也相对较多。而福建、贵州等地区,虽然APP发布平台数较少,但违法违规APP检出量也占一定比例。

 

 

全年恶意应用地域整体分布(图1-2)

二、移动应用安全监管情况

(一)安全立法情况

随着信息网络技术迅猛发展和移动智能终端广泛普及,移动互联网以其泛在、连接、智能、普惠等突出优势,有力推动了互联网和实体经济深度融合,已经成为创新发展新领域、公共服务新平台、信息分享新渠道。移动互联网新技术快速演进、新应用层出不穷、新业态蓬勃发展,工具属性、媒体属性、社交属性日益凸显,生态系统初步形成、加速拓展,越来越成为人们学习、工作、生活的新空间。但与此同时,移动互联网安全威胁和风险日渐突出,并向经济、政治、文化、社会、生态等领域传导渗透。

网络安全是事关国家安全的重大战略问题,我国从2014年2月中央网络安全和信息化领导小组成立,国家最高领导人习近平总书记担任小组组长,提出“没有网络安全就没有国家安全,没有信息化就没有现代化”和“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”,到2016年11月正式公布我国网络安全领域的基本法律《中华人民共和国网络安全法》,并于2017年6月1日正式施行,相关配套的规范规定,比如《关键信息基础设施安全保护条例》、《个人信息和重要数据出境安全评估办法》、《网络产品和服务安全审查办法》等规范性文件,以及《数据出境安全评估指南》、《个人信息安全规范》、《关键信息基础设施网络安全保护基本要求》等规定指导性文件正在陆续制定和发布,国家网络空间治理在法治化轨道上一步步地留下了坚实的足迹。

2016年6月28日国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》,该规定旨在加强对移动互联网应用程序(APP)信息服务的规范管理,促进行业健康有序发展,保护公民、法人和其他组织的合法权益。移动互联网应用程序提供者和互联网APP发布平台服务提供者应当切实履行管理责任,积极承担社会责任,自觉接受公众监督,为网民提供安全、优质、便捷、实用的信息服务。

2017年年初中办、国办印发《关于促进移动互联网健康有序发展的意见》,移动互联网驱动引领作用和安全风险防范受到进一步重视。明确提出“建立完善与移动互联网演进发展相适应的市场准入制度,健全电信业务分级分类管理制度,健全移动互联网新业务备案管理、综合评估等制度”和“建立知识产权风险管理体系,加强知识产权预警和跨境纠纷法律援助。加大对移动互联网技术、商业模式等创新成果的知识产权保护,研究完善法律法规,规范网络服务秩序,提高侵权代价和违法成本,有效威慑侵权行为”等相关要求。

2017年年内,国家网信办、国家新闻出版广电总局等部门先后出台了《互联网新闻信息服务管理规定》等十多项法规及规范性文件,体现了互联网新闻信息服务从PC门户时代到移动互联网时代的全面转型。针对网络新闻信息服务、互联网跟帖评论、论坛社区、互联网群组、互联网用户公众账号、新闻信息服务新技术新应用、互联网内容管理从业人员、网络视听节目内容、网络文学、电视上星综合频道、电视剧发展等等进一步强化、细化管理规范和社会责任,为网络空间治理提供了法治保障。

国家工信部针对移动互联网内容违规和安全陆续出台了相关的管理要求,包括《规范互联网信息服务市场秩序若干规定》(工信部令 20 号)、《电信和互联网用户个人信息保护规定》(工信部令 24 号)、《电信和互联网服务 用户个人信息保护技术要求 移动APP发布平台》、《移动互联网恶意程序监测与处置机制》,推动移动互联网、移动发布平台、移动应用APP和用户的内容和行为合法合规。

全国人大常委会从2017年8月启动《网络安全法》和《关于加强网络信息保护的决定》“一法一决定”的执法检查,12月向常委会提交执法检查报告。对于一部新制定的法律实施不满3个月即启动执法检查,这在全国人大常委会监督工作尚属首次,充分体现了国家对于《网络安全法》落地实施的高度重视。

2017年10月,党的十九大制定了新时代中国特色社会主义的行动纲领和发展蓝图,提出要建设网络强国、数字中国、智慧社会,发展数字经济、共享经济,培育新增长点、形成新动能。在党的十九大报告中8次提到互联网,网络强国战略实施迈向深入。互联网正加速与经济社会各领域深度融合,从顶层设计到百姓生活,中国互联网发展又进入了一个新阶段。

可以看到,随着国家依法治国的方针的深入和落实,网络空间的治理法律的建设和完善,各监管部门的积极推进,我国已逐步构建了网络安全保护法律体系和立体防控体系,成为互联网发展的强有力支撑。

(二)安全监测情况

2017年全年的违法违规移动互联网应用的检出率方面情况,检测疑似恶意应用8052个,检出恶意应用2046个,检测率25.41%;检测疑似存在高危漏洞应用7654个,检出存在高危漏洞应用7610个,检出率99.43%;检测疑似内容违规应用2458个,检出内容违规应用114个,检出率4.63%。

1.恶意程序监测情况

2017年共监测发现恶意程序APP 2046款,如(图2-1)所示,其中具有流氓行为的APP 1385款(占67%)、资费消耗类APP 609款(占30%)、恶意扣费类APP 35款(占2%),如(图2-2)所示。所谓恶意程序,就是在APP软件中植入木马程序,在用户不知情和未授权的情况下,隐蔽安装,收集用户个人隐私信息(通讯录、位置信息、照片、短信等)、恶意扣费、发送垃圾信息与骚扰广告,对用户造成严重的危害。

图2-1 存在恶意程序的APP每月发现数量

图2-2 恶意程序类型分布

APP存在恶意程序典型案例

(1) 应用名称:愤怒鸟大冒险

文件MD5 :64CD05B9B498839E6C93DE39B43FD4BB

文件版本:1.3.3

应用来源:2265安卓游戏

下载地址: http://download.2265.com/apk/clndmx_2265.com.apk

违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP在用户不知情的情况下,诱导用户订购收费业务,导致用户经济损失,具有恶意扣费行为,经过人工审核确认后,属于恶意应用,已根据相关法律法规进行处置。

运行界面:

启动后页面上方模糊提示计费20元,点击屏幕后,弹出“支付成功”弹窗,具体(如下图2-3所示)。

图2-3 应用启动后支付成功界面

通过平台监控短信,发现后台私自拦截、屏蔽删除业务定制扣费确认短信。

(2) 应用名称:好看速播HD

文件MD5 :36ec25aa33e36292de2cb3793bb0ff86

文件版本:v1.5.0

应用来源:飘荡软件

下载地址:http://gd.piaodown.com:8087/20100307/201405/ppxsyy.apk

违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP在用户不知情的情况下,后台私自订购各类收费业务或使用移动终端支付,导致用户经济损失,具有恶意扣费行为,经过人工审核确认后,属于植入恶意代码的应用,已根据相关法律法规进行处置。

运行界面:

该软件启动后,如(图2-4)所示。

 

图2-4 应用启动运行界面

通过反编译原软件,分析源码发现恶意行为关键代码,如(图2-5)所示。

 

图2-5 应用源代码发现恶意行为

运行恶意软件,监控短信接收信息,发现该软件启动后自动发送扣费短信业务,通过查看手机内短信,发现后台私自拦截扣费短信,如(图2-6)所示。

 

图2-6 后台私自拦截扣费短信

(3) 应用名称:超级省电专家

文件MD5 :844BF1106BCEF25082F7C5E41C8D7123

文件版本:3.0.8

应用来源:56手机游戏

下载地址: http://www.shouji56.com/soft/ChaoJiShengDianZhuan_305236

违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP启动后,后台运行时下载“别踩白块儿4”软件,侵犯用户知情权和选择权,造成用户资费消耗。

运行界面:

该软件启动后,如(图2-7)所示。

 

图2-7 应用启动运行界面

通过反编译原软件,分析源码发现恶意行为关键代码如(图2-8)所示。

图2-8 应用源代码存在恶意行为代码

运行恶意软件,软件在wifi环境下后台私自下载推广软件,如(图2-9)所示。

 

图2-9 私自下载其他应用

2.高危漏洞应用监测情况

2017年共监测发现存在高危安全漏洞的APP 7610款,如(图2-10)所示。高危安全漏洞类型包括:可获取敏感信息、弱口令机制、越权访问、绕过身份验证机制和远程代码执行等,这些安全隐患可能导致APP所属机构系统受到黑客或非法人员的攻击入侵,致使用户个人隐私信息被泄漏,信息被篡改以及资金被窃取。

图2-10 存在高危漏洞的APP每月发现数量

APP存在高危漏洞典型案例

(1)掌上四会

文件MD5 :071ecf2f8fcd83e9654c809434783184

文件版本:0.0.2

应用来源:官方网站

下载地址:http://download.xinhua.wareton.com/android/sihui.apk

违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP存在SQL注入等高危漏洞,不法分子可能利用漏洞获得后台数据库的管理权限,可窃取用户数据或篡改数据。

登录界面:

通过登录界面进行登录,如(图2-11)所示。

 

图2-11 应用登录界面

对应用登录界面进行抓包,登录请求中的参数deviceToken存在盲注, 如(图2-12)所示。

 

图2-12 存在盲注漏洞

注入点用户权限较高,具有数据库dba权限,如(图2-13)所示。

 

图2-13 获得数据库管理员权限

(2)海教通

文件MD5 :749da7135c2e1f22739ae327bddcb3e1

文件版本:4.4.1

应用来源:官方网站

下载地址:http://newbiz.imxuexin.cn/bizserver/download.html

违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP存在越权查看用户信息等高危漏洞,不法分子可能利用漏洞,在得知其他用户的手机号码后,可查询该用户的信息。

运行界面:

该软件启动后,如(图2-14)所示。

 

图2-14 应用启动运行界面

通过抓包可知道,当apk登录成功后,会继续发送数据包,向服务器请求用户信息。请求用户信息时,没有cookie等参数,唯一校验的是id与sign。当知道手机号码时,也可以反查用户其他信息,如(图2-15)所示。

 

图2-15 查询其他用户信息

3.内容违规应用监测情况

2017年共监测发现存在内容违法违规的APP 114款,如(图2-17)所示。违规的内容主要涉及赌博、低俗色情、封建迷信,分别占比52%、47%和1%,如(图2-16)所示。通过在APP中植入赌博、色情和封建迷信等违法违规信息,诱骗用户浏览网络赌博、色情网站,甚至假冒网购、支付平台,诱导受害人输入网银、支付工具的账号与密码,窃取账户资金。

图2-16 存在内容违规的APP每月发现数量

 

图2-17 内容违规类型分布

APP存在内容违规典型案例:

(1) 应用名称:床上

下载地址:http://yy.133998.com/download/app/201505/9cbce14f110043a4b5502ea68c6d3d43.apk

应用来源:YY138

违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP在页面内容上存在色情等违规关键字和图片,如(图2-18)所示,经过人工审核确认后,属于内容违规的应用,已根据相关法律法规进行处置。

运行界面:

 

图2-18存在色情违规内容

(2) 应用名称:色色电影

文件版本:(V10.1)

文件MD5码:D4CDBF86D668496B53A2069DB765CB65

违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP存在低俗色情视频,如(图2-19、图2-20)所示,经过人工审核确认后,属于内容违规的应用,已根据相关法律法规进行处置。

运行界面:

 

图2-19 色情视频违规内容

 

图2-20 色情视频违规内容

4.盗版应用监测情况

2017年监测发现存在盗版仿冒APP 40953款(如图2-21所示),盗版仿冒APP被下载的TOP10(如表2-22所示)。所谓盗版APP是指未经版权所有人同意或授权的情况下,对其APP进行反编译仿造,再上架到各大移动应用市场的行为。加上移动应用开发者的安全意识淡薄、代码编写不规范、国家没有严格的权益保护法律等原因,使APP盗版问题难以解决。安装使用了盗版APP会使用户手机感染病毒、消耗流量和话费、个人隐私数据泄露等,更侵害开发者的品牌影响和收入。

图2-21 盗版APP每月发现数量

序号

MD5

应用名称

版本号

包名

下载量

1

a72948d3eb9d74ac9816edcc51fdce04

音乐

0.0.1

com.miui.player

50140000

2

ce991a5306cbd5b2a6f43200b240d460

GO桌面

5.25.1

com.gau.go.launcherex

23540000

3

5d89b0f1b2b7ba3dd66d65b7bfa356f4

网易有道词典

5.3.5

com.youdao.dict

20000000

4

450a4c612c6bb563cb123be22d1c24f3

GO桌面

5.25

com.gau.go.launcherex

20000000

5

84b2184bddd8f1c6513c8effe0656665

学生赚

6.39

com.tianci.xueshengzhuan

20000000

6

c1ea8df4cd5db1634c62813116520009

CS枪神2013

8.8.8.8

com.monster.game23

20000000

7

566f872f0c3e759e3b90c4804b3c0e97

微信

4.5.1

com.tencent.mm

16790000

8

3af8e9d27a97849a6c386e4a57eba530

支付宝钱包

7.0.0.0602

com.eg.android.AlipayGphone

10920000

9

4f6954520e3684bc102dadf02e9b2974

生存战争 汉化版

1.29.12.0

com.candyrufusgames.survivalcraft

9550000

10

704985be5bd334e82bbe86eab1e03e5d

超级授权

2.56

eu.chainfire.supersu

9000000

表2-22 十大下载量最高的盗版应用APP

(三)媒体曝光情况

2016年3月起,结合广东省公安厅公安改革惠民措施,广东省公安厅网警总队开通“违法APP曝光台”,通过广东网警微信公众号(微信号:gdgawj)、平安南粤网(www.gdga.gov.cn)、粤警民通APP三种渠道,定期向社会公开曝光传播违法有害信息、恶意吸费、窃取公民个人隐私等侵害公民权益的APP,提醒广大群众加强防范、及时卸载,确实保障网民隐私和财产安全。

2017年,广东省公安厅网警总队通过新闻媒体曝光“汤姆猫小飞艇”、“拍拍贷借款”、“装X神器”等10余款存在恶意扣费、窃取用户信息、强行捆绑推广应用软件等突出安全问题的APP(见表2-23)。

违法有害APP名称

版本号

应用市场

行为描述

汤姆猫小飞艇

1.0.1

安X市场

导致用户经济损失,具有诱导扣费行为

生死狙击:圣光骑士

1.1

XX系统之家

导致用户经济损失,具有诱导扣费行为

部落冲突

1.0.0.2

XX系统之家

具有恶意扣费行为

搜悦-精华新闻阅读

5.1.1

安X新市场

造成隐严重泄漏

达客旅行

3.2.0

绿X安卓网

造成隐严重泄漏

Best v2.2.5 安卓版

2.2.5

非X软件

造成隐严重泄漏

游信

v2.8.0

非X软件

造成隐严重泄漏

马上理财

3.0.1

绿X安卓网

造成隐严重泄漏

拍拍贷借款

3.8.0

XX138

造成隐严重泄漏

二维码说说

8.0.6

4X应用

侵犯知情权和选择权,造成用户资费消耗

转变空间

4.2

XX单机游戏

侵犯知情权和选择权,造成用户资费消耗

笑话精品

3

比X尔下载

侵犯知情权和选择权,造成用户资费消耗

美女化妆换装教程

11.1.6

华X软件园

侵犯知情权和选择权,造成用户资费消耗

笑吧笑话大全

8.2.0

河X下载站

侵犯知情权和选择权,造成用户资费消耗

装X神器

3.1

当X软件园

侵犯知情权和选择权,造成用户资费消耗

……

….

….

……

表2-23 2017年安全问题突出的APP

(四)违法犯罪查处情况

广东省公安厅网警总队依托监测中心定期对国内APP发布平台已上线APP进行安全抽检,及时发现存在侵犯公民个人信息、涉嫌具有赌博、诈骗、盗窃和传播淫秽色情等突出安全问题APP,全年累计清理下架违法违规APP 6669个。组织开展多个专项清理行动,清理“蓝鲸游戏”、“六合彩”、“网络彩票”、“网络贷款”、“催债催收”等违法违规APP 9000余个。全国公安机关网安部门根据广东省公安厅网警总队的通报,加大对辖区APP发布平台的安全指导和监督检查力度,对安全制度措施不落实或问题隐患严重发布平台依法予以查处和整改,累计关停130多家APP发布平台。

同时,广东省公安厅网警总队加强对利用APP开展窃取公民个人信息、网络赌博、盗窃和传播淫秽色情等新型网络犯罪活动的集中打击,铲除了一批犯罪团伙,打击了一批犯罪分子,有效打击了网络犯罪分子的嚣张气焰。两个典型专案如下:

1.“安网6号”专案:2017年4月,广东省公安厅网警总队发现一款名为“情涩影音”的APP存在网络诈骗行为,该软件以成为会员便可免费观看多部成人电影为噱头,在播放色情视频几秒钟后开始诱骗用户进行多次充值,每天约有上万人被骗,涉案金额高达6亿以上,参与诈骗利益分成的既有第三方支付平台,也有成百上千的代理商和渠道商。6月,广东省公安厅网警总队将该案列为“安网6号”移动APP特大诈骗专案,开展收网行动,共抓获犯罪嫌疑人101人,缴获189张银行卡、作案电脑70台、手机101台,冻结银行资金约4300万元,止付银行账号约189个。该案系广东省公安机关首次对违法APP应用诈骗的集中打击,有效打击了网络犯罪分子的嚣张气焰。根据腾讯手机管家的监测数据显示,收网行动后互联网恶意文件传播量下降了90%。

2、“安网20号”专案:2017年8月,广东省公安厅网警总队发现,多款APP涉嫌利用虚假信息或播放疑似色情视频实施诈骗。主要有两个方面:一是以交友、求偶为幌子,利用隐晦的宣传用语吸引男性用户安装注册,之后以引诱用户充值会员可享有“特权”的手法实施诈骗,涉及的APP有“某城求偶”、“某派交友”、“某会么”、“某约爱”、“某城密撩”、“某缘”等;一是以播放色情视频为诱饵,吸引用户下载安装,进而引诱用户充值不断升级会员等级观看更多影片的手法实施诈骗,涉及的APP有“某咻影院”“某动影院”“某涩快播”“某乐影院”等。广东省公安厅网警总队迅速成立专案组,将此类手机APP新型网络诈骗案件列为“安网20号”专案进行打击,并于2017年12月中上旬开展收网行动,成功打掉涉案公司21家,抓获犯罪嫌疑人600余人,冻结涉案金额1亿余元,缴获服务器400余台,扣押电脑、手机、账本等涉案物品一批,一举打掉该犯罪团伙。此次行动是近年来广东省公安机关打击手机APP新型网络诈骗规模最大、成果最显著的收网行动,有力打击了犯罪分子的嚣张气焰,净化了网络空间环境。

(五)实名制落实情况

当前,应用程序APP已成为移动互联网信息服务的主要载体,对提供民生服务和促进经济社会发展发挥了重要作用。与此同时,少数应用程序被不法分子利用,传播暴力恐怖、淫秽色情及谣言等违法违规信息,有的还存在窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为,社会反映强烈。

2016年6月28日国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》,旨在加强对移动互联网应用程序(APP)信息服务的规范管理,促进行业健康有序发展,保护公民、法人和其他组织的合法权益。《规定》提出网络实名制,政策主要分为两个方面实施:一是要求移动互联网应用程序提供者(开发者/运营者)对注册用户的实名制,严格落实信息安全管理责任,要求按照“后台实名、前台自愿”的原则,对注册用户进行真实身份信息认证。二是要求 App 商店对上架应用提供者信息的实名制审核,应对 App 开发/运营者进行真实性、安全性、合法性等审核,建立信用管理制度,并向有关部门报备。

根据公安部部署,广东省公安厅网警总队严格的APP实名管理,督促指导省内58家APP发布平台完成公安网安备案,并将取得的公安网安备案号挂在平台首页;加强省内APP发布平台落实APP实名注册、登记制度情况检查,严防APP“带病”上架推广,累计清理未实名APP 151万余个。

(六)行业自律情况

1.全国移动互联网应用安全与版权联盟。2017年4月,在公安部网安局支持和指导下,由广东省公安厅网警总队推动,由国家计算机病毒应急处理中心、国家版权保护中心、中移互联网有限公司牵头建立的“全国移动互联网应用安全与版权联盟”在广州正式成立。该“联盟”共有国内APP发布平台、版权部门、第三方安全检测机构、媒体单位等近100家成员单位。联盟运营宗旨包括促进行业安全自律发展,有效保障移动互联网和用户的信息安全;促进政府、企业、个人在移动应用安全方面的协调配合,共同提高安全防范的能力和效率,遏制、降低安全问题的影响范围和破坏程度;促进正版内容传播,通过版权管理增强移动应用发布者的责任意识,遏制侵权盗播内容和有害信息的传播,净化网络环境,维护用户合法权益。

目前,该“联盟”在推动行业自律方面发挥重要作用,包括建立行业自律公约,持续引入成员单位,壮大“联盟”组织力量,以支持和适应快速发展的移动互联网应用安全趋势;制定和优化行业安全检测标准,为APP发布平台和运营者建立、落实相关管理制度和措施要求提供支持服务;组织APP发布平台和运营者做好用户信息安全管理保护,提升自身安全管理和防护能力水平。

2.广东省移动互联网应用安全发展联盟。2016年11月25日,由广东省互联网信息办公室、广东省通信管理局指导,国家计算机网络应急技术处理协调中心广东分中心、广东省互联网协会共同发起的“广东省移动互联网应用安全发展联盟”在广州成立。首批加盟单位包括:广东电信、广东移动、广东联通、中移互联网公司、腾讯、华为、中兴、百度、360、UC、艾媒、安天、恒安嘉新、任子行、云测、竞远、梆梆安全共17家云、管、端三个层面代表。该联盟成立宗旨主要包括进一步贯彻落实习近平总书记重要讲话精神,贯彻好落实好《网络安全法》,共同应对日趋严峻的移动互联网网络信息安全问题;支撑行业监管、净化网络环境和服务广大网民,共同维护移动互联网安全发展环境;以市场服务为导向,建立适合广东、连接全国的标准化、规模化开放服务,积极探索移动互联网安全发展技术和趋势,共同促进移动互联网行业健康、有序、快速发展。

三、移动应用安全态势分析

近年来,随着移动互联网的高速发展和广泛应用,移动应用APP数量急剧暴增,同时,根据CNNIC第40次调查报告,截至2017年6月,我国手机网民规模达7.24亿,网民使用手机上网的比例提升至96.3%,比例持续提升,各类手机应用的用户规模不断上升,场景更加丰富,使用移动设备上网已占主导地位,移动互联网应用成为当前主流,信息安全的对抗焦点已经从PC端和Web端转移到移动端。

(一)安全状况不容乐观

从整体的安全监测发现的类别上看,盗版仿冒、恶意代码、高危漏洞等成为移动互联网应用的主要安全问题,特别是盗版仿冒问题的数量,长期处于高位,很多移动应用APP由于存在大量安全漏洞和缺乏安全措施,被不法分子通过二次打包后,或被直接仿冒、或植入广告、植入恶意代码,甚至加入违法内容,再重新投放应用市场,既侵犯了正版APP所有者的知识产权,又严重危害用户的隐私与财产安全。

2017年发现的恶意代码应用中,以资费消耗类、诱骗欺诈类、隐私窃取类、恶意扣费类、流氓行为类等为主,资费消耗类恶意应用位居榜首,此类应用在用户不知情或未授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,导致用户资费损失。通过跟踪发现资费恶扣、用户隐私窃取、诈骗钓鱼等违法违规的移动应用数量仍呈增长态势,通过植入病毒、木马等恶意程序,实施非法窃取用户资金、敏感信息的犯罪行为成为主要的利益驱动。

通过全年针对全国大部分应用商场的移动APP安全的监测与跟踪发现,由于Android平台开放性,应用市场门槛较低,没有权威发布机构,安全审核机制不够严格,来自Android平台的移动应用APP存在安全违规问题比例较大,甚至导致互联网上恶意应用泛滥。而苹果IOS平台应用近年来也屡屡曝出漏洞,包括Xcode开发工具带病毒的事件,导致大量知名APP被植入恶意代码,安全问题也不容乐观。

从整体的安全监测发现的行业上看,游戏(王者荣耀等)、电商(淘宝京东等)、社交(微信、QQ等)、娱乐(直播平台、酷狗音乐等)、互联网金融(支付、网贷等)、理财(炒股等)等行业的APP下载量占据较高比例,拥有庞大的用户群,很多不法分子经常仿冒这些行业的移动应用排前十名的APP,通过盗用官方应用图标、应用名甚至软件内容框架以混淆用户视线骗取用户下载安装,以便进一步实施非法敛财行为。其中许多软件启动后都有与官方软件十分近似的界面,有的甚至能正常进行购物消费,但私下很有可能却在暗扣、消耗流量或窃取用户资产账户隐私,给用户财产安全带来严重危害。

从整体的安全监测发现的地域上看,2017全年监测的330余家移动APP发布平台主要分布在广东、北京福建等22个省市,地域分布来看,北京、广东、湖南等APP发布平台较多的地区,恶意应用检出量也相对较多。而福建、贵州等地区,虽然APP发布平台数较少,但恶意应用检出量却不容小觑,可见其省内APP发布平台对恶意应用的管辖力度相对较弱。青海、西藏、云南、宁夏、江西5个省份监测到违法违法应用较少,中西部地区的移动互联网安全指数高于沿海发达地区,可见由于沿海发达地区用户遭受到移动端恶意扣费、敏感信息泄露、仿冒盗版等威胁更多。

移动安全状况堪忧首要原因主要是由于APP开发者的安全开发意识不足以及移动应用商城的安全检测审核机制的薄弱,很多应用商城仍然上架大量存在高危安全漏洞的APP,不止影响到应用的提供者安全,而且用户安装使用其APP时,也导致受到安全威胁。

(二)网络黑产链条滋生

随着移动互联网的高速发展和用户的急剧增长,很多机构都将业务迁移到移动APP上,另一方面APP开发技术成熟,犯罪成本较低;而且犯罪手法隐蔽,“盈利”可观;安全监管不足等原因,移动互联网迅速成为了一种新型网络诈骗犯罪行为。

利用交友类、色情类和直播类等APP进行网络犯罪和诈骗尤其多,客观原因主要有三个方面:一是与陌生人交友市场刚需旺盛;二是单体受骗金额小,选择“息事宁人”;三是APP应用市场、网络支付等平台监管缺失,滋生此类犯罪温床。据统计,仅珠海“同城求偶”交友诈骗APP案中,管理后台可查的2016年8月至今充值金额已达3.4亿元人民币之多。色情类APP诈骗团伙为避开执法部门严厉打击网络淫秽色情犯罪的焦点,开发的APP虽以观看各类色情视频为噱头,但内容实则只是一些经过剪辑不露三点的短视频,成功规避传播淫秽色情犯罪的风险,无疑增强了犯罪的隐蔽性。

可以看出,针对移动互联网安全的黑客和不法分子已经形成组织化,规模化、专业化的产业链,明确分工协作,有的负责开发恶意木马病毒、有的负责渠道代理营销、有的负责窃取用户敏感信息、还是的负责实施钓鱼等黑客攻击,非法获得用户资金、侵犯知识产权,盗取个人隐私资料。

(三)安全治理有待推进

国家、行业都关注到当前的安全形势,针对移动互联网安全相关法律法规和标准正在陆续出台和完善,如《中华人民共和国网络安全法》正式出台,国家网信办发布《移动互联网应用程序信息服务管理规定》等等。

近年来,通过加强应用平台备案、APP实名管理、安全监测、违法违规曝光、清理和整治,多方紧密协作,共同推动建立行业自律联盟等多项举措,从移动互联网的源头持续监测、打击、追踪和处置。

目前,移动互联网应用APP的整体安全形势有所改善,APP发布平台安全审核机制有所提高,用户安全意识逐步提升。但由于互联网用户的规模越来越大,应用场景越来越多,不法分子也在不断升级的违法犯罪手段,因此,移动互联网安全监测和保障的工作任重道远。

四、2018年工作展望

2018年,广东省公安厅网警总队将继续依托移动互联网应用安全监测中心,加大APP安全管理与监测能力、违法犯罪活动打击、新闻曝光力度,充分发挥行业自律作用,不断净化移动互联网环境。

(一)加强安全意识教育

根据权威用户调查,近一半的用户认为自己所用的移动APP是安全的,大部分用户不清楚自己是否会因移动APP的安全漏洞而遭遇个人信息的泄露,用户的信息安全意识是移动互联网应用安全治理管控重要的一环。根据日常的违法违规应用APP监测结果,分析、披露其不法行为和安全隐患以及对用户可能产生的后果和影响,结合处置的相关案件过程和新的新的移动互联网非法犯罪手段,通过广东网警微信公众号、粤警民通APP、平安南粤网网站等渠道长期进行全民的安全意识宣传和教育,逐步提高用户的移动互联网使用安全意识水平。

(二)加强安全监督管理

严格按照公安部《APP实名发布要求》,进一步加强省内APP发布者实名注册管理,未实名注册的APP,不得发布;对不落实实名信息注册的APP,一律清理下架。APP发布前必须按照公安部《移动应用安全检测基本要求(试行)》进行安全检测和审核,对于存在安全问题的APP不得发布,已经发布的一律清理下架。

(三)加强监测平台能力

随着移动互联网的快速发展,规模越来越大,APP数量急剧增加,使用传统的监测技术难以实现快速、准确地进行全天候的安全监测,并及时的通报处置。通过这几年的APP安全检测、监测工作,积累不少APP安全相关数据,将考虑利用现有的大量数据资源进行特征碰撞,对接外部APP安全情报,进一步优化监测平台的监测监测模型和引擎策略,形成基于大数据的智能移动互联网应用安全监测平台,提升应用安全监测平台的能力。

(四)加强违法犯罪打击

加强对具有侵犯公民个人信息、涉嫌具有赌博、诈骗、盗窃和传播淫秽色情等违法功能的APP技术监测工作,及时梳理发现一批案件线索,及时上报通报,APP运营者所在地网安部门要组织开展侦查调查工作。对明知他人利用APP实施犯罪仍给予技术支持和帮助的相关人员,也要依法追究相应法律责任。

(五)强化媒体宣传曝光

充分利用电视、报刊、广播、互联网等新闻媒体,加强对违法违规APP清理整治情况以及破获的典型案件进行有声势、有力度的宣传报道,及时回应媒体和网民呼吁。利用公安机关官方媒体,定期对违法违规问题突出的APP发布平台和APP进行曝光。充分发动群众举报移动应用的违法犯罪线索,对举报有功单位或个人要予以奖励,推动形成全社会共同参与维护网络秩序、打击网络犯罪的良好局面。

(六)发挥行业自律作用

加强对APP行业自律组织的指导,为APP发布平台和运营者建立、落实相关管理制度和措施要求提供支持服务,组织APP发布平台和运营者建立行业自律公约,制定并推行行业安全检测标准或要求,做好用户信息安全管理保护,提升自身安全管理和防护能力水平。

附录一常见的移动网络犯罪手法

以下列举一些常见的移动互联网网络犯罪手法,以增强用户的安全识别及风险防范意识,在遭遇类似事件时具备甄别能力,避免上当受骗。

(一)交友APP诈骗手法。当应用安装完成后,用户会接收到许多女性头像用户(实质为机器人)主动“打招呼”的消息。用户在与其互动的过程中,能够发送的消息条数一般限制在3至5条。如超过发送消息条数,则会提示用户需要充值成为会员才能免受限制且享有点击对方头像查看联系方式的“特权”。但充值过后,先前主动“打招呼”的女性头像用户不会再回复信息,并且联系方式均显示为“无”。据此,情报专班研判认为此类APP涉嫌利用虚假信息诱导用户充值实施网络诈骗。

(二)色情APP诈骗手法。当应用安装完成后,用户可在“体验区”观看一批时长约60秒的色情视频,视频播放完毕即弹出界面提示用户需要充值成为会员才能永久观看。但在充值后,APP仅开放与会员等级相应的内容区域,更新的视频在播放不久仍会通过弹出界面继续诱骗用户进行充值。另外,此类APP以三至五天为一个周期就会要求用户升级,升级过后所有已是会员的用户将恢复至“游客”身份。

(三)直播APP诈骗手法。当应用安装完成后,用户可观看到一批极具诱惑(无露点)或打上马赛克但可听到“呻吟”“娇喘”声音的直播视频(实质是录像),并在页面下方提供“秘播”选项诱骗用户充值得以观看更多表演。但在充值后,用户还是只能观看原直播视频或在观看约20秒后提示用户已被挤出房间,需再次充值才可继续观看。

(四)恶意获取用户流量手法。通过定期把国外开发的一些,国内比较流行的一些小的游戏,比如愤怒的小鸟这种类型或者更轻量级的一些小游戏把它重新打包封装,嵌入自己一些模块,作用第一是监视用户手机内存的进程,发现你目前在使用什么程序,第二它可以从云端发弹窗或操作指令和动作,发现用户在用微信、百度搜索或者新浪微博,他会下发弹出悬浮窗指令,诱导用户点击,把用户的流量导到自己的商城里,通过提供下载各种游戏的服务,增加点击量。

(五)手机木马洗钱犯罪手法。当面临移动互联网时代,犯罪分子很敏锐的察觉到移动互联网带给他们巨大的机会,通过重新的整合实施犯罪。因为犯罪产业链在移动网络并没有形成闭环,据此迅速圈定了全国一个特大的犯罪团伙。在手机木马洗钱犯罪中,第一步是“种马”,这是网络犯罪的一个起点,利用社会工程学方法、利用伪基站短信群发、猫池短信群发或通过手机刷机和分发平台,直接把木马种在用户的手机系统里。第二步种马后能够拿到运营商下发给用户的验证码。第三步,拿到验证码以后,就是通过购买、入侵网站等方式获取用户的姓名、手机、身分证号码和银行卡号。最后就是通过微信或者支付宝开通一个账户,绑定银行卡,开通网上支付功能,购物中银行下发的验证码又能轻易掌握,银行会认为是合法用户的正常请求,完成支付。犯罪嫌疑人再通过变卖网购的实物实现变现(如下图5-1所示)。

图5-1移动支付盗窃产业链里的流程图

附录二2017年移动安全热点事件

在移动互联网成为我们生活中不可缺少的一部分的时代,一方面它能给我们带来极大的便利,包括在线购物、沟通和移动支付;而另一方面,这也给犯罪分子提供了新的作案方式以及手段、手机隐私泄密、诈骗二维码、手机木马、手机恶意应用软件。下面让我们一起回顾一下,本年度国内移动互联网十大安全事件。

(一)网络安全法正式实施个人信息安全有保障

2017年6月1日起,《中华人民共和国网络安全法》正式实施,成为我国第一部规范网络空间秩序的基础性法律。《网络安全法》明确了对个人信息收集和保护的要求,提出了个人信息保护的基本原则和要求,并对加强个人信息保护和惩治非法买卖个人信息等做出了明确规定。

 

(二)共享单车扫码诈骗事件

2017年年初,共享单车雨后春笋出现在大街小巷,解决了人们出行“最后一公里”的问题,受到用户的欢迎。然而,随着共享单车成为关注热点,不法分子也将目光瞄向这里,共享单车被贴虚假二维码的诈骗事件接二连三的被报道出。用户手机扫描此类二维码后,或被要求直接转账,或被要求下载可疑软件,致使资金账户面临被盗刷的风险。甚至还有不法分子专门研究山寨的共享单车APP,引诱用户下载。

 

(三)315曝光人脸识别技术成手机潜在威胁

通常情况,人脸识别技术给人的印象是科技感十足,是手机上安全防护门。但是,2017年的3.15(国际消费者权益日)晚会上,这种印象被完全推翻。技术演示,不管是通过3D建模将照片转化成立体的人脸模型,还是将普通静态自拍照片变为动态模式,都可以骗过手机上的人脸识别系统。

 

此外,315还揭露了公共充电桩同样是手机上的潜在威胁,用户使用公共充电桩的时候,只要点击“同意”按钮,犯罪分子就可以控制手机,窥探手机上的密码、账号,并通过被控制的手机进行消费。

(四)银行APP安全体检:多款高危漏洞 影响资金安全

2017年3月,根据工信部旗下的泰尔终端实验室的安全报告《金融客户端也会存在高危漏洞》显示,他们针对中国银行、中信银行、建设银行等国内多家大型商业银行的Android端手机银行APP进行分析后发现:

此次测评的APP普遍存在高危漏洞,用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取。

 

用户安全建议:

1、从正规应用市场或官方网站下载APP;

2、尽量选择安全口碑较好、用户权益保护良好的银行办理业务;

3、谨慎使用手机银行APP执行转账等敏感操作,大额转账后应和对方确认;

4、 提高信息安全意识,保护个人隐私数据。

(五)勒索病毒模仿王者荣耀辅助工具袭击手机

今年最火爆的游戏《王者荣耀》,常年霸占各类游戏类排名的榜单,拥有玩家无数。然而2017年6月份,一款冒充“王者荣耀辅助工具”的勒索病毒,通过PC端和手机端的社交平台、游戏群等渠道大肆扩散,威胁几乎所有安卓平台手机,手机一旦感染,里面的照片、下载、云盘等目录下的个人文件就会被加密,如不支付勒索费用,文件将会被破坏。

(六)亚马逊、小红书用户信息泄露助长电话诈骗

2017年6月中旬,亚马逊和小红书网站用户遭遇信息泄露危机,大量个人信息外泄导致电话诈骗猛增。据了解,亚马逊多位用户遭遇冒充”亚马逊客服”的退款诈骗电话,其中一位用户被骗金额高达43万。小红书50多位用户也因此造成80多万的损失。事实上,利用精准信息实施诈骗是犯罪分子最惯用的手段之一,而手机在这一过程中则扮演了“帮凶”的角色。

 

(七)不要再清理“僵尸粉”了 微信:这是骗局 危害极大

2017年11月微信团队做出回应:这是骗局,危害极大。微信好友成百上千,但经常联系的就那么十几个,大部分沦为所谓的“僵尸好友”,而且有的已经将你删除好友,但你并不知晓。于是微信群中出现了一键清理僵尸粉之类的工具,号称能够查出单删好友,对此,微信官方团队表示:这全是假的!而且危害极大!

微信团队表示,这些所谓的清粉功能提供的二维码,其实就是你登录微信PC端的二维码,一旦完成扫码,坏人就登录到你的微信了,相当于把个人微信的控制权拱手相让。

风险如下:

— 个人隐私完全暴漏,诸如工作、身份、联系方式、好友关系、财务信息等,都可能被曝光在网络上,并会把这些信息出售给坏人。

— 个人关系链被获取,仿冒你的身份去欺骗亲友钱财,给微信好友推荐淫秽色情信息,甚至微信支付的资金也可能被坏人盗用。

— 帐号有明确使用外挂记录,有可能导致帐号被封,影响正常使用。

如果有人给你发送清理“僵尸粉”的广告,果断投诉吧,理由是“欺诈”。

 

(八)安卓爆出核弹级高危漏洞

2017年12月4号,Google通过其官方网站通告了高危漏洞CVE-2017-13156(发现厂商命名为Janus),该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码,目前安卓5.0—8.0等个版本系统均受影响。

该漏洞存在于Android系统用于读取应用程序签名的机制中,会在不影响应用签名的情况下向正常的Android APK 或 DEX 格式中添加恶意代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。

 

(九)黑客用理财APP漏洞半天提现千万

2017年2月27日,某金融信息服务有限公司发现旗下一款APP软件被多人利用黑客手段攻击,半天时间内即被非法提现1056万元,遂向公安机关报案。经查,2月27日,一名嫌疑人利用APP平台漏洞,使用黑客手段篡改APP充值过程中的请求金额数据,导致平台入账金额异常,并迅速提现。作案得手后,该嫌疑人又通过互联网传授作案方法,致使该漏洞被大量传播利用。至案发,共有422个异常APP账户使用该方法进行恶意充值,其中269个提现成功。

 

(十)今日头条回应“停更24小时”:正视问题,积极整改

2017年12月29日,国家互联网信息办公室指导北京市互联网信息办公室,针对今日头条、凤凰新闻手机APP客户端持续传播色情低俗信息、违规提供互联网新闻信息服务等问题,分别约谈两家企业负责人,责令企业立即停止违法违规行为。

今日头条手机客户端“推荐”“热点”“社会”“图片”“问答”“财经”等6个频道自2017年12月29日18时至12月30日18时暂停更新24小时、凤凰新闻手机客户端“头条”“推荐”等2个频道自2017年12月29日18时至12月30日6时暂停更新12小时。

 

回顾2017年年度移动互联网领域的安全事件,个人信息泄露成为移动安全首要威胁。在严峻的网络安全形势下,国家相关部门、安全厂商、运营商等多方联合,加大对公民个人信息泄露的打击力度,守卫移动安全,共建移动互联网安全产业链,打造更安全的移动互联网生态环境。

附录三移动应用安全监测方法

(一)参考标准

移动应用安全监测工作,主要依据国家网络安全法律法规、各监管部门的互联网安全规范以及相关安全技术最佳实践开展,监测过程所参考的标准如下:

《中华人民共和国网络安全法》

《信息安全技术网络安全等级保护基本要求第3

部分:移动互联安全扩展要求》

《移动互联网应用程序信息服务管理规定》

《移动互联网APP发布平台安全防护检测要求》

《移动互联网应用安全管理规范第1部分:安全监

测管理过程指南》

《移动互联网应用安全管理规范第2部分:发布服

务安全技术要求》

《移动互联网应用安全管理规范第3部分 移动互

联网应用安全监测要求》

(二)安全监测内容

移动互联网应用安全监测的主要内容包括违法应用、内容违规、盗版应用和应用漏洞等四个方面的安全监测。

(1) 违法程序监测

窃听用户通话

主要监测在用户不知情或者未授权的况下,移动应用是否存在窃听用户通话的违法行为。

窃取用户信息

主要监测在用户不知情或未授权的情况下,移动应用是否有窃取短信、彩信、邮件、通讯录、通话记录、通话内容、地理位置信息、本机手机号码、用户各类账号、用户各类密码、利用终端获取音频、视频和照片以及用户其他信息等涉及用户个人信息、工作信息或其他非公开信息。

破坏用户数据

主要监测移动应用是否有通过入侵用户手机伪造、篡改、劫持短信、彩信、邮件、通信录、通话记录、收藏夹、桌面等行为,以诱骗用户,达到不正当目的。

擅自使用付费业务

主要监测移动应用是否在用户不知情或未授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,导致用户资费损失的行为。

发垃圾信息

主要监测移动应用是否有在用户不知情或未授权的情况下,包含或发送垃圾信息,该类信息包括但不限于以下内容:与应用自身无关的内容,如垃圾广告、提示下载软件等;应用推送信息不可清除;强制推荐下载其他程序才能正常使用的行为;向用户推销商业类、广告的信息;强行发送到用户邮箱、短信中的信息;其它违反行业自律性规范的信息。

推送恶意广告

主要监测移动应用是否存在推送恶意广告给用户的行为,包括但不限于以下内容:篡改浏览器主页;篡改桌面图标及快捷方式的跳转链接;强制用户访问指定网站;在桌面、菜单、收藏夹添加广告链接;劫持浏览器启动项信息;嵌入诱惑用户点击获利行为等。

推送欺诈信息

主要监测移动应用是否存在推送欺诈信息给用户的行为,包括但不限于以下内容:冒充国家监管机构进行用户欺诈;热门节目中奖类的欺诈信息;虚假网购退款的欺诈信息;通过推送钓鱼链接,诱惑用户点击;推送恶意二维码,致使用户扫描导隐私泄露、财产盗取等。

影响移动终端运行

主要监测移动应用是否存在通过感染、劫持、篡改、删除、终止进程等手段影响移动终端的正常运行的行为。

危害互联网安全

主要监测移动应用代码是否存在安全隐患、是否安全合规等可能危害互联网安全的问题。

(2) 内容违规监测

根据媒体内容,将涉及内容安全的行为或画面分为色情低俗类、暴力恐怖类、吸毒贩毒类、聚众赌博类、其他有害信息类等类别,支撑内容分级实施细则。

色情低俗类

主要监测移动应用中是否出现色情低俗类信息内容,具体识别过程参考内容违规研判细则。

暴力恐怖类

主要监测移动应用是否出现包含暴力恐怖类信息内容,具体识别过程参考内容违规研判细则。

危害国家安全类

主要监测移动应用中是否出现反党发动类信息内容,具体识别过程参考内容违规研判细则。

吸毒贩毒类

主要监测移动应用是否存在涉及包括吸毒、制贩等违法犯罪的方技术工艺经验在内的任何涉毒违法有害信息内容,具体识别过程参考内容违规研判细则。

聚众赌博类

主要监测移动应用中是否出现赌博类信息内容,具体识别过程参考内容违规研判细则。

其他有害类

主要监测移动应用中是否出现其它有害类信息,具体识别过程参考内容违规研判细则。

(3) 盗版应用监测

盗版应用主要通过盗用正版应用的图标、名称、仿冒知名软件功能、盗用正版软件界面等方式混淆用户,诱导用户下载安装并实施恶意行为损害用户利益。

图标盗用类

盗版应用直接使用正版应用的图标,或对正版软件图标进行一些微小变形(如拉伸、旋转、加水印等)后的图标作为应用图标。这种方式利用用户的弱视觉辨别和疏于细节的习惯,混淆用户使其相信该仿冒图标代表正版应用,从而实施进一步的恶意攻击。

名称盗用类

盗版应用直接使用正版应用的名称,或使用与正版应用在字面或含义上极其相似的名称作为自己的应用名。如故意在正版软件名称中加上“正版”、“官方”、“手机”等字样诱导用户。此外,不少盗版应用还利用正版应用的某项功能名称作为应用名,这种方法利用了用户的使用习惯和相信权威的思维习惯。

用户界面盗用类

盗版应用直接盗用正版应用的用户界面,诱导用户进行相关操作,但通常在背后处理逻辑中对用户实施恶意行为。如记录登录账号和密码并发送到远端服务器,进而转移账户资金等。

二次打包类

盗版应用直接盗用正版应用的整套功能并在其中插入恶意代码,如钓鱼网站链接、广告推送、隐私获取等。实现这种盗版应用最常用的手段就是二次打包,重打包后的应用与正版应用在外观和内容上均一模一样,用户根本无法识别真伪,最终造成的危害也极大。

(4) 应用漏洞监测

通过分析应用自身的安全威胁,依据应用数据流的位置和动向,并结合移动端系统架构,从应用层、服务器层、数据存储层、网络传输层等四个维度进行应用漏洞检测。

应用层漏洞

主要监测应用组件暴露导致的安全问题,比如数据库接口暴露导致的数据库被篡改、窃取等、其他组件暴露导致的信息劫持和欺骗等,以及手机应用内其他配置和代码安全。

服务器层漏洞

主要监测应用系统的网络服务对外暴露的API接口存在的SQL注入、XSS、缓冲区溢出、弱口令等安全问题。

数据存储层漏洞

主要监测应用的数据文件的权限、输入、存储、显示等安全问题,数据文件及其所在文件夹的权限配置导致的安全问题;应用涉及的隐私数据输入、存储、备份、显示等安全问题。

网络传输层漏洞

主要监测应用与后台及用户之间的网络传输安全、网络传输时携带数据、参数安全等;对中间人攻击的防御等。

(三)安全监测流程

为了更加有效、快速地针对移动互联网应用的合规、安全进行全面的监测,构建了一套基于行为特征库的、集搜索、抓取、自动化扫描、自动化分析、智能识别的系统平台,结合人工审核研判,实现移动应用安全监测过程(如下图7-1所示)。

 

(1)自动搜索与抓取:使用自动化爬虫技术,从标的App市场获取App样本,并精确识别App相关附加信息。

(2)自动安全分析:对App样本进行静态分析,格式化待审核信息。

(3)自动化比对判断:通过与基准正版App信息库做比较,识别出盗版应用提交人工审核。

(4)自动化识别判断:通过文字和图片的自动识别,判别出内容违规应用提交人工审核。

(5)自动化扫描:通过安全扫描器识别App中的高危漏洞,提交人工审核与验证。

(6)沙盒动态分析:通过沙盒动态分析技术,识别出应用运行中存在的危险行为,判别为恶意应用后交人工进一步分析审核。

(7)人工验证研判:人工通过静态分析验证和动态行为分析验证后,将结果入库。

致谢

在开展移动互联网应用APP安全的检测、监测和整治工作的过程中,得到了中移互联网有限公司、任子行网络技术股份有限公司、深圳市网安计算机安全检测技术有限公司、北京洋浦伟业科技发展有限公司、北京捷兴信源信息技术有限公司、广州竞远安全技术股份有限公司、深圳爱加密科技有限公司、中国赛宝实验室、北京永信至诚科技股份有限公司、广州华南信息安全测评中心和广东南方信息安全研究所等第三方专业安全评估机构的支持和协助,在此一并表示感谢。

关于广东省公安厅公安网警总队

广东省公安厅网警总队是广东公安厅直属正处级单位,承担全省互联网安全管理、重要信息系统等级保护、网络违法犯罪案件侦查打击、电子数据鉴定等职责任务。在公安部网安局和广东省公安厅党委正确领导下,广东省公安厅网警总队始终坚持围绕中心、服务大局的工作理念,在网络安全保卫战线上顽强拼搏、开拓创新、真抓实干,为维护全省网络社会平安稳定做出了重要贡献。(来源:广东省公安厅网警总队;编选:电子商务研究中心)

网经社联合A股上市公司网盛生意宝(002095.SZ)推出消费品在线供应链金融解决方案。该产品具有按需提款、按天计息、随借随还、专款专用、循环信用贷、全线上流程操作等特点,解决消费品供应链核心企业及下游经销商/网店因库存及账期造成的流动性差“痛点”。》》合作联系

网经社“电数宝”电商大数据库(DATA.100EC.CN,注册免费体验全部)基于电商行业12年沉淀,包含100+上市公司、新三板公司数据,150+独角兽、200+千里马公司数据,4000+起投融资数据以及10万+互联网APP数据,全面覆盖“头部+腰部+长尾”电商,旨在通过数据可视化形式帮助了解电商行业,挖掘行业市场潜力,助力企业决策,做电商人研究、决策的“好参谋”。

【投诉曝光】 更多>

【版权声明】秉承互联网开放、包容的精神,网经社欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源网经社;同时,我们倡导尊重与保护知识产权,如发现本站文章存在版权问题,烦请将版权疑问、授权证明、版权证明、联系方式等,发邮件至NEWS@netsun.com,我们将第一时间核实、处理。

        平台名称
        平台回复率
        回复时效性
        用户满意度
        微信公众号
        微信二维码 打开微信“扫一扫”
        微信小程序
        小程序二维码 打开微信“扫一扫”