888sk集團(tuán)電子娛樂jdp-重磅發(fā)布！《通付盾行業(yè)灰應(yīng)用態(tài)勢感知季報（2021Q1）》~

2021年4月17日，由OWASP中國舉辦的“智移動 * 新安全-2021移動應(yīng)用安全論壇“圓滿結(jié)束，論壇上，通付盾作為受邀嘉賓，重磅發(fā)布《通付盾行業(yè)灰應(yīng)用態(tài)勢感知季報（2021Q1）》（以下簡稱‘季報‘），與此同時，通付盾移動安全合規(guī)專家圍繞“灰應(yīng)用檢測”為核心，向參會來賓們詳細(xì)解析灰應(yīng)用的特征及如何利用相關(guān)技術(shù)挖掘與分析此類應(yīng)用。

以下是《季報》核心要點。

灰應(yīng)用調(diào)查總體背景情況

依托通付盾先進(jìn)的決策引擎技術(shù)替代人工檢測，通付盾灰應(yīng)用檢測平臺針對各大應(yīng)用市場熱門排行榜上共計3450款應(yīng)用進(jìn)行了重點批量檢測，在此基礎(chǔ)上，通付盾北斗團(tuán)隊分別從用戶信息收集合規(guī)性及內(nèi)容合規(guī)性檢測兩大檢測維度，針對主要權(quán)限申請情況、動態(tài)權(quán)限調(diào)用情況、用戶信息收集情況、應(yīng)用類型分布、應(yīng)用形態(tài)、應(yīng)用傳播方式、市場特點等進(jìn)行了重點安全合規(guī)分析。

1）權(quán)限申請情況分析

通過分析上述3450款應(yīng)用權(quán)限申請檢測結(jié)果后發(fā)現(xiàn)，共申請權(quán)限總類達(dá)5770種，其中約67種敏感權(quán)限，自定義權(quán)限達(dá)4080種；對申請的67種敏感權(quán)限進(jìn)行統(tǒng)計發(fā)現(xiàn)，讀取外部權(quán)限、讀取電話狀態(tài)的申請頻次最高，分別有94%，93%的應(yīng)用申請了該權(quán)限，其次是使用相機(jī)和定位的權(quán)限申請，均在80%以上。

圖1 各類權(quán)限申請情況統(tǒng)計

2）動態(tài)權(quán)限調(diào)用情況分析

通過對這3450款應(yīng)用進(jìn)行動態(tài)權(quán)限合規(guī)檢測后，發(fā)現(xiàn)應(yīng)用調(diào)用次數(shù)最高的分別是讀取通話狀態(tài)，讀寫外部存儲和獲取位置信息三類權(quán)限。

圖2 各類權(quán)限調(diào)用情況統(tǒng)計

3）用戶信息收集情況分析

針對獲取地理位置和獲取手機(jī)狀態(tài)兩項權(quán)限的單獨分析發(fā)現(xiàn)，共有2150款應(yīng)用申請了獲取地理權(quán)限，這些應(yīng)用根據(jù)應(yīng)用類型劃分，申請最多的是電子圖書和工具管理類應(yīng)用，其次是網(wǎng)絡(luò)支付、新聞資訊等。根據(jù)《規(guī)定》，僅地圖導(dǎo)航、網(wǎng)絡(luò)約車、餐飲外送、郵件快件寄遞、服務(wù)旅游、用車服務(wù)類可以申請地理位置權(quán)限。這類權(quán)限違規(guī)情況極為嚴(yán)重。

圖3 各類應(yīng)用地理位置權(quán)限申請情況統(tǒng)計

此外，共有95款應(yīng)用申請了獲取手機(jī)號碼權(quán)限，這些應(yīng)用按類型劃分后主要集中在地圖導(dǎo)航、網(wǎng)絡(luò)支付、電子圖書、網(wǎng)絡(luò)社區(qū)和短視頻中。根據(jù)《規(guī)定》，電子圖書、短視頻、安全管理等無須個人信息。

圖4各類應(yīng)用申請獲取收集好嗎權(quán)限情況統(tǒng)計

4）內(nèi)容違規(guī)類應(yīng)用檢測結(jié)果分析

通過上述3450款應(yīng)用檢測結(jié)果的匯總及分析，共發(fā)現(xiàn)疑似內(nèi)容違規(guī)數(shù)據(jù)2360條，疑似存在違規(guī)問題的應(yīng)用448款，將這448款應(yīng)用按內(nèi)容違規(guī)的類別劃分，疑似涉黃類124款，疑似非法廣告類225款，疑似暴恐類2款，疑似違禁類29款，疑似涉政類98款，疑似惡心類0款。季報對每一類應(yīng)用類型進(jìn)行了典型案例分析，并對它們的傳播方式、分布市場特點等進(jìn)行了針對分析。

圖5 違規(guī)問題應(yīng)用分布圖

最后，通付盾北斗團(tuán)隊專家對灰應(yīng)用監(jiān)測情況作了總結(jié)，通過對灰應(yīng)用內(nèi)容違規(guī)情況和超權(quán)用戶信息收集情況的分析，安全專家發(fā)現(xiàn)，內(nèi)容違規(guī)應(yīng)用市場占有率低，但是檢測難度大，危害性廣，這不僅需要市場部門的大力監(jiān)管，更需要先進(jìn)的檢測技術(shù)發(fā)現(xiàn)這類違規(guī)應(yīng)用；存在超權(quán)用戶信息收集的應(yīng)用市場分布較廣，需要加大力度進(jìn)行統(tǒng)一整治管理。

灰應(yīng)用存在在特定區(qū)域及時間發(fā)生內(nèi)容違規(guī)、功能違規(guī)、竊取用戶信息、攜帶惡意病毒等問題，灰應(yīng)用在傳播方式、生存方式上具有很強(qiáng)的隱蔽性，給用戶的隱私保護(hù)帶來了更多的挑戰(zhàn)，給用戶的身心健康及生命財產(chǎn)安全也帶來了極大威脅。

隨著國家對移動應(yīng)用市場的監(jiān)管力度不斷加強(qiáng),灰應(yīng)用檢測必將受到越來越多的關(guān)注。通付盾北斗團(tuán)隊將不斷深入灰應(yīng)用檢測的技術(shù)升級與檢測模式創(chuàng)新，為建設(shè)健康和諧的移動應(yīng)用市場貢獻(xiàn)一份力量。

關(guān)于通付盾灰應(yīng)用檢測平臺：

通付盾灰應(yīng)用檢測平臺是一款面向移動應(yīng)用開發(fā)者、監(jiān)管單位、測評機(jī)構(gòu)、應(yīng)用市場等推出的移動應(yīng)用安全合規(guī)檢測平臺，結(jié)合相關(guān)國家標(biāo)準(zhǔn)和金融、通信等細(xì)分領(lǐng)域行業(yè)標(biāo)準(zhǔn)，利用符號執(zhí)行、動態(tài)沙箱、動靜結(jié)合檢測引擎等技術(shù)手段，提供高可用、高性能、高安全的自動化移動應(yīng)用安全合規(guī)檢測服務(wù)，精準(zhǔn)識別移動應(yīng)用中存在的安全漏洞、惡意代碼、違規(guī)信息采集行為、違規(guī)內(nèi)容，給出安全合規(guī)整改建議，幫助提高移動應(yīng)用的安全性與合規(guī)性。

關(guān)于通付盾北斗團(tuán)隊：

通付盾北斗團(tuán)隊（負(fù)責(zé)安全合規(guī)產(chǎn)品）于2013年成立，8年來專注于移動應(yīng)用全生命周期的安全研究，積累了豐富的移動應(yīng)用安全實戰(zhàn)經(jīng)驗，不斷保持技術(shù)研發(fā)與創(chuàng)新，致力于為企業(yè)提供移動應(yīng)用全生命周期安全工程解決方案。自研了符號執(zhí)行、動態(tài)沙箱、大數(shù)據(jù)分析、VMP虛擬機(jī)保護(hù)、iPA動態(tài)殼保護(hù)等多個核心技術(shù)。團(tuán)隊所研發(fā)產(chǎn)品已服務(wù)于上千家各行業(yè)客戶，深入到政府、軍工、能源、金融、運(yùn)營商、教育、醫(yī)療、傳媒、交通、互聯(lián)網(wǎng)等行業(yè)，為數(shù)十億級移動終端提供了移動應(yīng)用安全保障。其中移動應(yīng)用安全合規(guī)檢測成功服務(wù)國測、軍測、公安和工信部，實現(xiàn)國家級測評機(jī)構(gòu)全覆蓋。