2021年4月17日，由OWASP中國(guó)舉辦的“智移動(dòng) * 新安全-2021移動(dòng)應(yīng)用安全論壇“圓滿結(jié)束，論壇上，通付盾作為受邀嘉賓，重磅發(fā)布《通付盾行業(yè)灰應(yīng)用態(tài)勢(shì)感知季報(bào)(2021Q1)》(以下簡(jiǎn)稱(chēng)‘季報(bào)‘)，與此同時(shí)，通付盾移動(dòng)安全合規(guī)專(zhuān)家圍繞“灰應(yīng)用檢測(cè)”為核心，向參會(huì)來(lái)賓們?cè)敿?xì)解析灰應(yīng)用的特征及如何利用相關(guān)技術(shù)挖掘與分析此類(lèi)應(yīng)用。

以下是《季報(bào)》核心要點(diǎn)。

灰應(yīng)用調(diào)查總體背景情況

依托通付盾先進(jìn)的決策引擎技術(shù)替代人工檢測(cè)，通付盾灰應(yīng)用檢測(cè)平臺(tái)針對(duì)各大應(yīng)用市場(chǎng)熱門(mén)排行榜上共計(jì)3450款應(yīng)用進(jìn)行了重點(diǎn)批量檢測(cè)，在此基礎(chǔ)上，通付盾北斗團(tuán)隊(duì)分別從用戶信息收集合規(guī)性及內(nèi)容合規(guī)性檢測(cè)兩大檢測(cè)維度，針對(duì)主要權(quán)限申請(qǐng)情況、動(dòng)態(tài)權(quán)限調(diào)用情況、用戶信息收集情況、應(yīng)用類(lèi)型分布、應(yīng)用形態(tài)、應(yīng)用傳播方式、市場(chǎng)特點(diǎn)等進(jìn)行了重點(diǎn)安全合規(guī)分析。

1)權(quán)限申請(qǐng)情況分析

通過(guò)分析上述3450款應(yīng)用權(quán)限申請(qǐng)檢測(cè)結(jié)果后發(fā)現(xiàn)，共申請(qǐng)權(quán)限總類(lèi)達(dá)5770種，其中約67種敏感權(quán)限，自定義權(quán)限達(dá)4080種;對(duì)申請(qǐng)的67種敏感權(quán)限進(jìn)行統(tǒng)計(jì)發(fā)現(xiàn)，讀取外部權(quán)限、讀取電話狀態(tài)的申請(qǐng)頻次最高，分別有94%，93%的應(yīng)用申請(qǐng)了該權(quán)限，其次是使用相機(jī)和定位的權(quán)限申請(qǐng)，均在80%以上。

圖1 各類(lèi)權(quán)限申請(qǐng)情況統(tǒng)計(jì)

2)動(dòng)態(tài)權(quán)限調(diào)用情況分析

通過(guò)對(duì)這3450款應(yīng)用進(jìn)行動(dòng)態(tài)權(quán)限合規(guī)檢測(cè)后，發(fā)現(xiàn)應(yīng)用調(diào)用次數(shù)最高的分別是讀取通話狀態(tài)，讀寫(xiě)外部存儲(chǔ)和獲取位置信息三類(lèi)權(quán)限。

圖2 各類(lèi)權(quán)限調(diào)用情況統(tǒng)計(jì)

3)用戶信息收集情況分析

針對(duì)獲取地理位置和獲取手機(jī)狀態(tài)兩項(xiàng)權(quán)限的單獨(dú)分析發(fā)現(xiàn)，共有2150款應(yīng)用申請(qǐng)了獲取地理權(quán)限，這些應(yīng)用根據(jù)應(yīng)用類(lèi)型劃分，申請(qǐng)最多的是電子圖書(shū)和工具管理類(lèi)應(yīng)用，其次是網(wǎng)絡(luò)支付、新聞資訊等。根據(jù)《規(guī)定》，僅地圖導(dǎo)航、網(wǎng)絡(luò)約車(chē)、餐飲外送、郵件快件寄遞、服務(wù)旅游、用車(chē)服務(wù)類(lèi)可以申請(qǐng)地理位置權(quán)限。這類(lèi)權(quán)限違規(guī)情況極為嚴(yán)重。

圖3 各類(lèi)應(yīng)用地理位置權(quán)限申請(qǐng)情況統(tǒng)計(jì)

此外，共有95款應(yīng)用申請(qǐng)了獲取手機(jī)號(hào)碼權(quán)限，這些應(yīng)用按類(lèi)型劃分后主要集中在地圖導(dǎo)航、網(wǎng)絡(luò)支付、電子圖書(shū)、網(wǎng)絡(luò)社區(qū)和短視頻中。根據(jù)《規(guī)定》，電子圖書(shū)、短視頻、安全管理等無(wú)須個(gè)人信息。

圖4各類(lèi)應(yīng)用申請(qǐng)獲取收集好嗎權(quán)限情況統(tǒng)計(jì)

4)內(nèi)容違規(guī)類(lèi)應(yīng)用檢測(cè)結(jié)果分析

通過(guò)上述3450款應(yīng)用檢測(cè)結(jié)果的匯總及分析，共發(fā)現(xiàn)疑似內(nèi)容違規(guī)數(shù)據(jù)2360條，疑似存在違規(guī)問(wèn)題的應(yīng)用448款，將這448款應(yīng)用按內(nèi)容違規(guī)的類(lèi)別劃分，疑似涉黃類(lèi)124款，疑似非法廣告類(lèi)225款，疑似暴恐類(lèi)2款，疑似違禁類(lèi)29款，疑似涉政類(lèi)98款，疑似惡心類(lèi)0款。季報(bào)對(duì)每一類(lèi)應(yīng)用類(lèi)型進(jìn)行了典型案例分析，并對(duì)它們的傳播方式、分布市場(chǎng)特點(diǎn)等進(jìn)行了針對(duì)分析。

圖5 違規(guī)問(wèn)題應(yīng)用分布圖

最后，通付盾北斗團(tuán)隊(duì)專(zhuān)家對(duì)灰應(yīng)用監(jiān)測(cè)情況作了總結(jié)，通過(guò)對(duì)灰應(yīng)用內(nèi)容違規(guī)情況和超權(quán)用戶信息收集情況的分析，安全專(zhuān)家發(fā)現(xiàn)，內(nèi)容違規(guī)應(yīng)用市場(chǎng)占有率低，但是檢測(cè)難度大，危害性廣，這不僅需要市場(chǎng)部門(mén)的大力監(jiān)管，更需要先進(jìn)的檢測(cè)技術(shù)發(fā)現(xiàn)這類(lèi)違規(guī)應(yīng)用;存在超權(quán)用戶信息收集的應(yīng)用市場(chǎng)分布較廣，需要加大力度進(jìn)行統(tǒng)一整治管理。

灰應(yīng)用存在在特定區(qū)域及時(shí)間發(fā)生內(nèi)容違規(guī)、功能違規(guī)、竊取用戶信息、攜帶惡意病毒等問(wèn)題，灰應(yīng)用在傳播方式、生存方式上具有很強(qiáng)的隱蔽性，給用戶的隱私保護(hù)帶來(lái)了更多的挑戰(zhàn)，給用戶的身心健康及生命財(cái)產(chǎn)安全也帶來(lái)了極大威脅。

隨著國(guó)家對(duì)移動(dòng)應(yīng)用市場(chǎng)的監(jiān)管力度不斷加強(qiáng)，灰應(yīng)用檢測(cè)必將受到越來(lái)越多的關(guān)注。通付盾北斗團(tuán)隊(duì)將不斷深入灰應(yīng)用檢測(cè)的技術(shù)升級(jí)與檢測(cè)模式創(chuàng)新，為建設(shè)健康和諧的移動(dòng)應(yīng)用市場(chǎng)貢獻(xiàn)一份力量。

關(guān)于通付盾灰應(yīng)用檢測(cè)平臺(tái)：

通付盾灰應(yīng)用檢測(cè)平臺(tái)是一款面向移動(dòng)應(yīng)用開(kāi)發(fā)者、監(jiān)管單位、測(cè)評(píng)機(jī)構(gòu)、應(yīng)用市場(chǎng)等推出的移動(dòng)應(yīng)用安全合規(guī)檢測(cè)平臺(tái)，結(jié)合相關(guān)國(guó)家標(biāo)準(zhǔn)和金融、通信等細(xì)分領(lǐng)域行業(yè)標(biāo)準(zhǔn)，利用符號(hào)執(zhí)行、動(dòng)態(tài)沙箱、動(dòng)靜結(jié)合檢測(cè)引擎等技術(shù)手段，提供高可用、高性能、高安全的自動(dòng)化移動(dòng)應(yīng)用安全合規(guī)檢測(cè)服務(wù)，精準(zhǔn)識(shí)別移動(dòng)應(yīng)用中存在的安全漏洞、惡意代碼、違規(guī)信息采集行為、違規(guī)內(nèi)容，給出安全合規(guī)整改建議，幫助提高移動(dòng)應(yīng)用的安全性與合規(guī)性。

關(guān)于通付盾北斗團(tuán)隊(duì)：

通付盾北斗團(tuán)隊(duì)(負(fù)責(zé)安全合規(guī)產(chǎn)品)于2013年成立，8年來(lái)專(zhuān)注于移動(dòng)應(yīng)用全生命周期的安全研究，積累了豐富的移動(dòng)應(yīng)用安全實(shí)戰(zhàn)經(jīng)驗(yàn)，不斷保持技術(shù)研發(fā)與創(chuàng)新，致力于為企業(yè)提供移動(dòng)應(yīng)用全生命周期安全工程解決方案。自研了符號(hào)執(zhí)行、動(dòng)態(tài)沙箱、大數(shù)據(jù)分析、VMP虛擬機(jī)保護(hù)、iPA動(dòng)態(tài)殼保護(hù)等多個(gè)核心技術(shù)。團(tuán)隊(duì)所研發(fā)產(chǎn)品已服務(wù)于上千家各行業(yè)客戶，深入到政府、軍工、能源、金融、運(yùn)營(yíng)商、教育、醫(yī)療、傳媒、交通、互聯(lián)網(wǎng)等行業(yè)，為數(shù)十億級(jí)移動(dòng)終端提供了移動(dòng)應(yīng)用安全保障。其中移動(dòng)應(yīng)用安全合規(guī)檢測(cè)成功服務(wù)國(guó)測(cè)、軍測(cè)、公安和工信部，實(shí)現(xiàn)國(guó)家級(jí)測(cè)評(píng)機(jī)構(gòu)全覆蓋。