2021年4月17日�����,由OWASP中國(guó)舉辦的“智移動(dòng) * 新安全-2021移動(dòng)應(yīng)用安全論壇“圓滿(mǎn)結(jié)束,論壇上����,通付盾作為受邀嘉賓,重磅發(fā)布《通付盾行業(yè)灰應(yīng)用態(tài)勢(shì)感知季報(bào)(2021Q1)》(以下簡(jiǎn)稱(chēng)‘季報(bào)‘)�,與此同時(shí),通付盾移動(dòng)安全合規(guī)專(zhuān)家圍繞“灰應(yīng)用檢測(cè)”為核心�,向參會(huì)來(lái)賓們?cè)敿?xì)解析灰應(yīng)用的特征及如何利用相關(guān)技術(shù)挖掘與分析此類(lèi)應(yīng)用。
以下是《季報(bào)》核心要點(diǎn)����。
灰應(yīng)用調(diào)查總體背景情況
依托通付盾先進(jìn)的決策引擎技術(shù)替代人工檢測(cè),通付盾灰應(yīng)用檢測(cè)平臺(tái)針對(duì)各大應(yīng)用市場(chǎng)熱門(mén)排行榜上共計(jì)3450款應(yīng)用進(jìn)行了重點(diǎn)批量檢測(cè)��,在此基礎(chǔ)上�,通付盾北斗團(tuán)隊(duì)分別從用戶(hù)信息收集合規(guī)性及內(nèi)容合規(guī)性檢測(cè)兩大檢測(cè)維度,針對(duì)主要權(quán)限申請(qǐng)情況���、動(dòng)態(tài)權(quán)限調(diào)用情況���、用戶(hù)信息收集情況、應(yīng)用類(lèi)型分布��、應(yīng)用形態(tài)�����、應(yīng)用傳播方式�、市場(chǎng)特點(diǎn)等進(jìn)行了重點(diǎn)安全合規(guī)分析。
1)權(quán)限申請(qǐng)情況分析
通過(guò)分析上述3450款應(yīng)用權(quán)限申請(qǐng)檢測(cè)結(jié)果后發(fā)現(xiàn)�,共申請(qǐng)權(quán)限總類(lèi)達(dá)5770種,其中約67種敏感權(quán)限���,自定義權(quán)限達(dá)4080種�;對(duì)申請(qǐng)的67種敏感權(quán)限進(jìn)行統(tǒng)計(jì)發(fā)現(xiàn)�,讀取外部權(quán)限、讀取電話狀態(tài)的申請(qǐng)頻次最高��,分別有94%����,93%的應(yīng)用申請(qǐng)了該權(quán)限,其次是使用相機(jī)和定位的權(quán)限申請(qǐng)�����,均在80%以上�����。
圖1 各類(lèi)權(quán)限申請(qǐng)情況統(tǒng)計(jì)
2)動(dòng)態(tài)權(quán)限調(diào)用情況分析
通過(guò)對(duì)這3450款應(yīng)用進(jìn)行動(dòng)態(tài)權(quán)限合規(guī)檢測(cè)后,發(fā)現(xiàn)應(yīng)用調(diào)用次數(shù)最高的分別是讀取通話狀態(tài)����,讀寫(xiě)外部存儲(chǔ)和獲取位置信息三類(lèi)權(quán)限。
圖2 各類(lèi)權(quán)限調(diào)用情況統(tǒng)計(jì)
3)用戶(hù)信息收集情況分析
針對(duì)獲取地理位置和獲取手機(jī)狀態(tài)兩項(xiàng)權(quán)限的單獨(dú)分析發(fā)現(xiàn)���,共有2150款應(yīng)用申請(qǐng)了獲取地理權(quán)限�,這些應(yīng)用根據(jù)應(yīng)用類(lèi)型劃分����,申請(qǐng)最多的是電子圖書(shū)和工具管理類(lèi)應(yīng)用,其次是網(wǎng)絡(luò)支付�、新聞資訊等。根據(jù)《規(guī)定》�����,僅地圖導(dǎo)航�����、網(wǎng)絡(luò)約車(chē)����、餐飲外送�����、郵件快件寄遞�����、服務(wù)旅游、用車(chē)服務(wù)類(lèi)可以申請(qǐng)地理位置權(quán)限�。這類(lèi)權(quán)限違規(guī)情況極為嚴(yán)重。
圖3 各類(lèi)應(yīng)用地理位置權(quán)限申請(qǐng)情況統(tǒng)計(jì)
此外�����,共有95款應(yīng)用申請(qǐng)了獲取手機(jī)號(hào)碼權(quán)限��,這些應(yīng)用按類(lèi)型劃分后主要集中在地圖導(dǎo)航�、網(wǎng)絡(luò)支付、電子圖書(shū)�、網(wǎng)絡(luò)社區(qū)和短視頻中。根據(jù)《規(guī)定》�,電子圖書(shū)、短視頻����、安全管理等無(wú)須個(gè)人信息��。
圖4各類(lèi)應(yīng)用申請(qǐng)獲取收集好嗎權(quán)限情況統(tǒng)計(jì)
4)內(nèi)容違規(guī)類(lèi)應(yīng)用檢測(cè)結(jié)果分析
通過(guò)上述3450款應(yīng)用檢測(cè)結(jié)果的匯總及分析�����,共發(fā)現(xiàn)疑似內(nèi)容違規(guī)數(shù)據(jù)2360條�,疑似存在違規(guī)問(wèn)題的應(yīng)用448款�����,將這448款應(yīng)用按內(nèi)容違規(guī)的類(lèi)別劃分��,疑似涉黃類(lèi)124款�����,疑似非法廣告類(lèi)225款���,疑似暴恐類(lèi)2款�����,疑似違禁類(lèi)29款��,疑似涉政類(lèi)98款��,疑似惡心類(lèi)0款�����。季報(bào)對(duì)每一類(lèi)應(yīng)用類(lèi)型進(jìn)行了典型案例分析��,并對(duì)它們的傳播方式��、分布市場(chǎng)特點(diǎn)等進(jìn)行了針對(duì)分析�����。
圖5 違規(guī)問(wèn)題應(yīng)用分布圖
最后����,通付盾北斗團(tuán)隊(duì)專(zhuān)家對(duì)灰應(yīng)用監(jiān)測(cè)情況作了總結(jié)����,通過(guò)對(duì)灰應(yīng)用內(nèi)容違規(guī)情況和超權(quán)用戶(hù)信息收集情況的分析,安全專(zhuān)家發(fā)現(xiàn)�,內(nèi)容違規(guī)應(yīng)用市場(chǎng)占有率低,但是檢測(cè)難度大���,危害性廣���,這不僅需要市場(chǎng)部門(mén)的大力監(jiān)管��,更需要先進(jìn)的檢測(cè)技術(shù)發(fā)現(xiàn)這類(lèi)違規(guī)應(yīng)用����;存在超權(quán)用戶(hù)信息收集的應(yīng)用市場(chǎng)分布較廣��,需要加大力度進(jìn)行統(tǒng)一整治管理�����。
灰應(yīng)用存在在特定區(qū)域及時(shí)間發(fā)生內(nèi)容違規(guī)����、功能違規(guī)、竊取用戶(hù)信息��、攜帶惡意病毒等問(wèn)題���,灰應(yīng)用在傳播方式��、生存方式上具有很強(qiáng)的隱蔽性�����,給用戶(hù)的隱私保護(hù)帶來(lái)了更多的挑戰(zhàn)���,給用戶(hù)的身心健康及生命財(cái)產(chǎn)安全也帶來(lái)了極大威脅�。
隨著國(guó)家對(duì)移動(dòng)應(yīng)用市場(chǎng)的監(jiān)管力度不斷加強(qiáng),灰應(yīng)用檢測(cè)必將受到越來(lái)越多的關(guān)注�����。通付盾北斗團(tuán)隊(duì)將不斷深入灰應(yīng)用檢測(cè)的技術(shù)升級(jí)與檢測(cè)模式創(chuàng)新�,為建設(shè)健康和諧的移動(dòng)應(yīng)用市場(chǎng)貢獻(xiàn)一份力量。
關(guān)于通付盾灰應(yīng)用檢測(cè)平臺(tái):
通付盾灰應(yīng)用檢測(cè)平臺(tái)是一款面向移動(dòng)應(yīng)用開(kāi)發(fā)者�、監(jiān)管單位、測(cè)評(píng)機(jī)構(gòu)�����、應(yīng)用市場(chǎng)等推出的移動(dòng)應(yīng)用安全合規(guī)檢測(cè)平臺(tái)����,結(jié)合相關(guān)國(guó)家標(biāo)準(zhǔn)和金融���、通信等細(xì)分領(lǐng)域行業(yè)標(biāo)準(zhǔn)�,利用符號(hào)執(zhí)行、動(dòng)態(tài)沙箱��、動(dòng)靜結(jié)合檢測(cè)引擎等技術(shù)手段��,提供高可用���、高性能���、高安全的自動(dòng)化移動(dòng)應(yīng)用安全合規(guī)檢測(cè)服務(wù),精準(zhǔn)識(shí)別移動(dòng)應(yīng)用中存在的安全漏洞���、惡意代碼��、違規(guī)信息采集行為��、違規(guī)內(nèi)容��,給出安全合規(guī)整改建議�����,幫助提高移動(dòng)應(yīng)用的安全性與合規(guī)性����。
關(guān)于通付盾北斗團(tuán)隊(duì):
通付盾北斗團(tuán)隊(duì)(負(fù)責(zé)安全合規(guī)產(chǎn)品)于2013年成立,8年來(lái)專(zhuān)注于移動(dòng)應(yīng)用全生命周期的安全研究���,積累了豐富的移動(dòng)應(yīng)用安全實(shí)戰(zhàn)經(jīng)驗(yàn)��,不斷保持技術(shù)研發(fā)與創(chuàng)新�,致力于為企業(yè)提供移動(dòng)應(yīng)用全生命周期安全工程解決方案��。自研了符號(hào)執(zhí)行�、動(dòng)態(tài)沙箱、大數(shù)據(jù)分析�����、VMP虛擬機(jī)保護(hù)�����、iPA動(dòng)態(tài)殼保護(hù)等多個(gè)核心技術(shù)�。團(tuán)隊(duì)所研發(fā)產(chǎn)品已服務(wù)于上千家各行業(yè)客戶(hù)����,深入到政府、軍工�����、能源、金融��、運(yùn)營(yíng)商����、教育、醫(yī)療���、傳媒�����、交通��、互聯(lián)網(wǎng)等行業(yè)�,為數(shù)十億級(jí)移動(dòng)終端提供了移動(dòng)應(yīng)用安全保障����。其中移動(dòng)應(yīng)用安全合規(guī)檢測(cè)成功服務(wù)國(guó)測(cè)�、軍測(cè)�����、公安和工信部,實(shí)現(xiàn)國(guó)家級(jí)測(cè)評(píng)機(jī)構(gòu)全覆蓋�。
轉(zhuǎn)自:通付盾
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊�����,僅代表作者個(gè)人觀點(diǎn)�,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056���。
延伸閱讀
