2017年,广东省公安厅网警总队加大安全监测力度,依托监测中心累计将国内330余家APP发布平台已上线的2200余万款APP纳入监测范围,抽检APP343万余款(占15.11%),发现存在恶意程序代码、高危安全漏洞、内容违规、仿冒盗版等违法违规行为和风险的移动应用APP50723款,其中恶意程序APP2046款(占4.03%)、高危漏洞APP7610款(占15%)、内容违规APP114款(占比0.22%)、盗版仿冒APP40953款(80.74%),如(图1-1)所示。
违法违规移动互联网应用APP数量(图1-1)
全年恶意应用地域整体分布(图1-2)
二、移动应用安全监管情况
(一)安全立法情况
2016年6月28日国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》,该规定旨在加强对移动互联网应用程序(APP)信息服务的规范管理,促进行业健康有序发展,保护公民、法人和其他组织的合法权益。移动互联网应用程序提供者和互联网APP发布平台服务提供者应当切实履行管理责任,积极承担社会责任,自觉接受公众监督,为网民提供安全、优质、便捷、实用的信息服务。
可以看到,随着国家依法治国的方针的深入和落实,网络空间的治理法律的建设和完善,各监管部门的积极推进,我国已逐步构建了网络安全保护法律体系和立体防控体系,成为互联网发展的强有力支撑。
(二)安全监测情况
2017年全年的违法违规移动互联网应用的检出率方面情况,检测疑似恶意应用8052个,检出恶意应用2046个,检测率25.41%;检测疑似存在高危漏洞应用7654个,检出存在高危漏洞应用7610个,检出率99.43%;检测疑似内容违规应用2458个,检出内容违规应用114个,检出率4.63%。
1.恶意程序监测情况
图2-1存在恶意程序的APP每月发现数量
图2-2恶意程序类型分布
(1)应用名称:愤怒鸟大冒险
文件MD5:64CD05B9B498839E6C93DE39B43FD4BB
文件版本:1.3.3
运行界面:
启动后页面上方模糊提示计费20元,点击屏幕后,弹出“支付成功”弹窗,具体(如下图2-3所示)。
通过平台监控短信,发现后台私自拦截、屏蔽删除业务定制扣费确认短信。
(2)应用名称:好看速播HD
文件MD5:36ec25aa33e36292de2cb3793bb0ff86
文件版本:v1.5.0
该软件启动后,如(图2-4)所示。
图2-4应用启动运行界面
通过反编译原软件,分析源码发现恶意行为关键代码,如(图2-5)所示。
图2-5应用源代码发现恶意行为
运行恶意软件,监控短信接收信息,发现该软件启动后自动发送扣费短信业务,通过查看手机内短信,发现后台私自拦截扣费短信,如(图2-6)所示。
图2-6后台私自拦截扣费短信
(3)应用名称:超级省电专家
文件MD5:844BF1106BCEF25082F7C5E41C8D7123
文件版本:3.0.8
违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP启动后,后台运行时下载“别踩白块儿4”软件,侵犯用户知情权和选择权,造成用户资费消耗。
该软件启动后,如(图2-7)所示。
图2-7应用启动运行界面
通过反编译原软件,分析源码发现恶意行为关键代码如(图2-8)所示。
图2-8应用源代码存在恶意行为代码
运行恶意软件,软件在wifi环境下后台私自下载推广软件,如(图2-9)所示。
图2-9私自下载其他应用
2.高危漏洞应用监测情况
2017年共监测发现存在高危安全漏洞的APP7610款,如(图2-10)所示。高危安全漏洞类型包括:可获取敏感信息、弱口令机制、越权访问、绕过身份验证机制和远程代码执行等,这些安全隐患可能导致APP所属机构系统受到黑客或非法人员的攻击入侵,致使用户个人隐私信息被泄漏,信息被篡改以及资金被窃取。
图2-10存在高危漏洞的APP每月发现数量
(1)掌上四会
文件MD5:071ecf2f8fcd83e9654c809434783184
文件版本:0.0.2
违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP存在SQL注入等高危漏洞,不法分子可能利用漏洞获得后台数据库的管理权限,可窃取用户数据或篡改数据。
图2-12存在盲注漏洞
注入点用户权限较高,具有数据库dba权限,如(图2-13)所示。
图2-13获得数据库管理员权限
(2)海教通
文件MD5:749da7135c2e1f22739ae327bddcb3e1
文件版本:4.4.1
违规行为:通过移动互联网应用APP安全检测平台的识别,发现该违规APP存在越权查看用户信息等高危漏洞,不法分子可能利用漏洞,在得知其他用户的手机号码后,可查询该用户的信息。
该软件启动后,如(图2-14)所示。
图2-14应用启动运行界面
图2-15查询其他用户信息
3.内容违规应用监测情况
2017年共监测发现存在内容违法违规的APP114款,如(图2-17)所示。违规的内容主要涉及赌博、低俗色情、封建迷信,分别占比52%、47%和1%,如(图2-16)所示。通过在APP中植入赌博、色情和封建迷信等违法违规信息,诱骗用户浏览网络赌博、色情网站,甚至假冒网购、支付平台,诱导受害人输入网银、支付工具的账号与密码,窃取账户资金。
图2-16存在内容违规的APP每月发现数量
图2-17内容违规类型分布
APP存在内容违规典型案例:
(1)应用名称:床上
图2-18存在色情违规内容
(2)应用名称:色色电影
文件版本:(V10.1)
文件MD5码:D4CDBF86D668496B53A2069DB765CB65
图2-19色情视频违规内容
图2-20色情视频违规内容
4.盗版应用监测情况
图2-21盗版APP每月发现数量
序号
MD5
应用名称
版本号
包名
下载量
1
a72948d3eb9d74ac9816edcc51fdce04
音乐
0.0.1
com.miui.player
50140000
2
ce991a5306cbd5b2a6f43200b240d460
GO桌面
5.25.1
com.gau.go.launcherex
23540000
3
5d89b0f1b2b7ba3dd66d65b7bfa356f4
网易有道词典
5.3.5
com.youdao.dict
20000000
4
450a4c612c6bb563cb123be22d1c24f3
5.25
5
84b2184bddd8f1c6513c8effe0656665
学生赚
6.39
com.tianci.xueshengzhuan
6
c1ea8df4cd5db1634c62813116520009
CS枪神2013
8.8.8.8
com.monster.game23
7
566f872f0c3e759e3b90c4804b3c0e97
4.5.1
com.tencent.mm
16790000
8
3af8e9d27a97849a6c386e4a57eba530
7.0.0.0602
com.eg.android.AlipayGphone
10920000
9
4f6954520e3684bc102dadf02e9b2974
生存战争汉化版
1.29.12.0
com.candyrufusgames.survivalcraft
9550000
10
704985be5bd334e82bbe86eab1e03e5d
2.56
eu.chainfire.supersu
9000000
表2-22十大下载量最高的盗版应用APP
(三)媒体曝光情况
违法有害APP名称
应用市场
行为描述
汤姆猫小飞艇
1.0.1
安X市场
导致用户经济损失,具有诱导扣费行为
生死狙击:圣光骑士
1.1
XX系统之家
部落冲突
1.0.0.2
具有恶意扣费行为
搜悦-精华新闻阅读
5.1.1
安X新市场
造成隐严重泄漏
达客旅行
3.2.0
绿X安卓网
Bestv2.2.5安卓版
2.2.5
非X软件
游信
v2.8.0
马上理财
3.0.1
3.8.0
XX138
二维码说说
8.0.6
4X应用
侵犯知情权和选择权,造成用户资费消耗
转变空间
4.2
XX单机游戏
笑话精品
比X尔下载
美女化妆换装教程
11.1.6
华X软件园
笑吧笑话大全
8.2.0
河X下载站
装X神器
3.1
当X软件园
……
….
表2-232017年安全问题突出的APP
(四)违法犯罪查处情况
广东省公安厅网警总队依托监测中心定期对国内APP发布平台已上线APP进行安全抽检,及时发现存在侵犯公民个人信息、涉嫌具有赌博、诈骗、盗窃和传播淫秽色情等突出安全问题APP,全年累计清理下架违法违规APP6669个。组织开展多个专项清理行动,清理“蓝鲸游戏”、“六合彩”、“网络彩票”、“网络贷款”、“催债催收”等违法违规APP9000余个。全国公安机关网安部门根据广东省公安厅网警总队的通报,加大对辖区APP发布平台的安全指导和监督检查力度,对安全制度措施不落实或问题隐患严重发布平台依法予以查处和整改,累计关停130多家APP发布平台。
1.“安网6号”专案:2017年4月,广东省公安厅网警总队发现一款名为“情涩影音”的APP存在网络诈骗行为,该软件以成为会员便可免费观看多部成人电影为噱头,在播放色情视频几秒钟后开始诱骗用户进行多次充值,每天约有上万人被骗,涉案金额高达6亿以上,参与诈骗利益分成的既有第三方支付平台,也有成百上千的代理商和渠道商。6月,广东省公安厅网警总队将该案列为“安网6号”移动APP特大诈骗专案,开展收网行动,共抓获犯罪嫌疑人101人,缴获189张银行卡、作案电脑70台、手机101台,冻结银行资金约4300万元,止付银行账号约189个。该案系广东省公安机关首次对违法APP应用诈骗的集中打击,有效打击了网络犯罪分子的嚣张气焰。根据腾讯手机管家的监测数据显示,收网行动后互联网恶意文件传播量下降了90%。
2、“安网20号”专案:2017年8月,广东省公安厅网警总队发现,多款APP涉嫌利用虚假信息或播放疑似色情视频实施诈骗。主要有两个方面:一是以交友、求偶为幌子,利用隐晦的宣传用语吸引男性用户安装注册,之后以引诱用户充值会员可享有“特权”的手法实施诈骗,涉及的APP有“某城求偶”、“某派交友”、“某会么”、“某约爱”、“某城密撩”、“某缘”等;一是以播放色情视频为诱饵,吸引用户下载安装,进而引诱用户充值不断升级会员等级观看更多影片的手法实施诈骗,涉及的APP有“某咻影院”“某动影院”“某涩快播”“某乐影院”等。广东省公安厅网警总队迅速成立专案组,将此类手机APP新型网络诈骗案件列为“安网20号”专案进行打击,并于2017年12月中上旬开展收网行动,成功打掉涉案公司21家,抓获犯罪嫌疑人600余人,冻结涉案金额1亿余元,缴获服务器400余台,扣押电脑、手机、账本等涉案物品一批,一举打掉该犯罪团伙。此次行动是近年来广东省公安机关打击手机APP新型网络诈骗规模最大、成果最显著的收网行动,有力打击了犯罪分子的嚣张气焰,净化了网络空间环境。
(五)实名制落实情况
当前,应用程序APP已成为移动互联网信息服务的主要载体,对提供民生服务和促进经济社会发展发挥了重要作用。与此同时,少数应用程序被不法分子利用,传播暴力恐怖、淫秽色情及谣言等违法违规信息,有的还存在窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为,社会反映强烈。
2016年6月28日国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》,旨在加强对移动互联网应用程序(APP)信息服务的规范管理,促进行业健康有序发展,保护公民、法人和其他组织的合法权益。《规定》提出网络实名制,政策主要分为两个方面实施:一是要求移动互联网应用程序提供者(开发者/运营者)对注册用户的实名制,严格落实信息安全管理责任,要求按照“后台实名、前台自愿”的原则,对注册用户进行真实身份信息认证。二是要求App商店对上架应用提供者信息的实名制审核,应对App开发/运营者进行真实性、安全性、合法性等审核,建立信用管理制度,并向有关部门报备。
根据公安部部署,广东省公安厅网警总队严格的APP实名管理,督促指导省内58家APP发布平台完成公安网安备案,并将取得的公安网安备案号挂在平台首页;加强省内APP发布平台落实APP实名注册、登记制度情况检查,严防APP“带病”上架推广,累计清理未实名APP151万余个。
(六)行业自律情况
三、移动应用安全态势分析
近年来,随着移动互联网的高速发展和广泛应用,移动应用APP数量急剧暴增,同时,根据CNNIC第40次调查报告,截至2017年6月,我国手机网民规模达7.24亿,网民使用手机上网的比例提升至96.3%,比例持续提升,各类手机应用的用户规模不断上升,场景更加丰富,使用移动设备上网已占主导地位,移动互联网应用成为当前主流,信息安全的对抗焦点已经从PC端和Web端转移到移动端。
(一)安全状况不容乐观
通过全年针对全国大部分应用商场的移动APP安全的监测与跟踪发现,由于Android平台开放性,应用市场门槛较低,没有权威发布机构,安全审核机制不够严格,来自Android平台的移动应用APP存在安全违规问题比例较大,甚至导致互联网上恶意应用泛滥。而苹果IOS平台应用近年来也屡屡曝出漏洞,包括Xcode开发工具带病毒的事件,导致大量知名APP被植入恶意代码,安全问题也不容乐观。
移动安全状况堪忧首要原因主要是由于APP开发者的安全开发意识不足以及移动应用商城的安全检测审核机制的薄弱,很多应用商城仍然上架大量存在高危安全漏洞的APP,不止影响到应用的提供者安全,而且用户安装使用其APP时,也导致受到安全威胁。
(二)网络黑产链条滋生
随着移动互联网的高速发展和用户的急剧增长,很多机构都将业务迁移到移动APP上,另一方面APP开发技术成熟,犯罪成本较低;而且犯罪手法隐蔽,“盈利”可观;安全监管不足等原因,移动互联网迅速成为了一种新型网络诈骗犯罪行为。
利用交友类、色情类和直播类等APP进行网络犯罪和诈骗尤其多,客观原因主要有三个方面:一是与陌生人交友市场刚需旺盛;二是单体受骗金额小,选择“息事宁人”;三是APP应用市场、网络支付等平台监管缺失,滋生此类犯罪温床。据统计,仅珠海“同城求偶”交友诈骗APP案中,管理后台可查的2016年8月至今充值金额已达3.4亿元人民币之多。色情类APP诈骗团伙为避开执法部门严厉打击网络淫秽色情犯罪的焦点,开发的APP虽以观看各类色情视频为噱头,但内容实则只是一些经过剪辑不露三点的短视频,成功规避传播淫秽色情犯罪的风险,无疑增强了犯罪的隐蔽性。
可以看出,针对移动互联网安全的黑客和不法分子已经形成组织化,规模化、专业化的产业链,明确分工协作,有的负责开发恶意木马病毒、有的负责渠道代理营销、有的负责窃取用户敏感信息、还是的负责实施钓鱼等黑客攻击,非法获得用户资金、侵犯知识产权,盗取个人隐私资料。
(三)安全治理有待推进
近年来,通过加强应用平台备案、APP实名管理、安全监测、违法违规曝光、清理和整治,多方紧密协作,共同推动建立行业自律联盟等多项举措,从移动互联网的源头持续监测、打击、追踪和处置。
目前,移动互联网应用APP的整体安全形势有所改善,APP发布平台安全审核机制有所提高,用户安全意识逐步提升。但由于互联网用户的规模越来越大,应用场景越来越多,不法分子也在不断升级的违法犯罪手段,因此,移动互联网安全监测和保障的工作任重道远。
四、2018年工作展望
2018年,广东省公安厅网警总队将继续依托移动互联网应用安全监测中心,加大APP安全管理与监测能力、违法犯罪活动打击、新闻曝光力度,充分发挥行业自律作用,不断净化移动互联网环境。
(二)加强安全监督管理
严格按照公安部《APP实名发布要求》,进一步加强省内APP发布者实名注册管理,未实名注册的APP,不得发布;对不落实实名信息注册的APP,一律清理下架。APP发布前必须按照公安部《移动应用安全检测基本要求(试行)》进行安全检测和审核,对于存在安全问题的APP不得发布,已经发布的一律清理下架。
(三)加强监测平台能力
(四)加强违法犯罪打击
(五)强化媒体宣传曝光
充分利用电视、报刊、广播、互联网等新闻媒体,加强对违法违规APP清理整治情况以及破获的典型案件进行有声势、有力度的宣传报道,及时回应媒体和网民呼吁。利用公安机关官方媒体,定期对违法违规问题突出的APP发布平台和APP进行曝光。充分发动群众举报移动应用的违法犯罪线索,对举报有功单位或个人要予以奖励,推动形成全社会共同参与维护网络秩序、打击网络犯罪的良好局面。
(六)发挥行业自律作用
附录一常见的移动网络犯罪手法
以下列举一些常见的移动互联网网络犯罪手法,以增强用户的安全识别及风险防范意识,在遭遇类似事件时具备甄别能力,避免上当受骗。
(一)交友APP诈骗手法。当应用安装完成后,用户会接收到许多女性头像用户(实质为机器人)主动“打招呼”的消息。用户在与其互动的过程中,能够发送的消息条数一般限制在3至5条。如超过发送消息条数,则会提示用户需要充值成为会员才能免受限制且享有点击对方头像查看联系方式的“特权”。但充值过后,先前主动“打招呼”的女性头像用户不会再回复信息,并且联系方式均显示为“无”。据此,情报专班研判认为此类APP涉嫌利用虚假信息诱导用户充值实施网络诈骗。
(二)色情APP诈骗手法。当应用安装完成后,用户可在“体验区”观看一批时长约60秒的色情视频,视频播放完毕即弹出界面提示用户需要充值成为会员才能永久观看。但在充值后,APP仅开放与会员等级相应的内容区域,更新的视频在播放不久仍会通过弹出界面继续诱骗用户进行充值。另外,此类APP以三至五天为一个周期就会要求用户升级,升级过后所有已是会员的用户将恢复至“游客”身份。
(三)直播APP诈骗手法。当应用安装完成后,用户可观看到一批极具诱惑(无露点)或打上马赛克但可听到“呻吟”“娇喘”声音的直播视频(实质是录像),并在页面下方提供“秘播”选项诱骗用户充值得以观看更多表演。但在充值后,用户还是只能观看原直播视频或在观看约20秒后提示用户已被挤出房间,需再次充值才可继续观看。
图5-1移动支付盗窃产业链里的流程图
附录二2017年移动安全热点事件
在移动互联网成为我们生活中不可缺少的一部分的时代,一方面它能给我们带来极大的便利,包括在线购物、沟通和移动支付;而另一方面,这也给犯罪分子提供了新的作案方式以及手段、手机隐私泄密、诈骗二维码、手机木马、手机恶意应用软件。下面让我们一起回顾一下,本年度国内移动互联网十大安全事件。
(一)网络安全法正式实施个人信息安全有保障
2017年6月1日起,《中华人民共和国网络安全法》正式实施,成为我国第一部规范网络空间秩序的基础性法律。《网络安全法》明确了对个人信息收集和保护的要求,提出了个人信息保护的基本原则和要求,并对加强个人信息保护和惩治非法买卖个人信息等做出了明确规定。
(三)315曝光人脸识别技术成手机潜在威胁
此外,315还揭露了公共充电桩同样是手机上的潜在威胁,用户使用公共充电桩的时候,只要点击“同意”按钮,犯罪分子就可以控制手机,窥探手机上的密码、账号,并通过被控制的手机进行消费。
(四)银行APP安全体检:多款高危漏洞影响资金安全
2017年3月,根据工信部旗下的泰尔终端实验室的安全报告《金融客户端也会存在高危漏洞》显示,他们针对中国银行、中信银行、建设银行等国内多家大型商业银行的Android端手机银行APP进行分析后发现:
此次测评的APP普遍存在高危漏洞,用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取。
用户安全建议:
1、从正规应用市场或官方网站下载APP;
2、尽量选择安全口碑较好、用户权益保护良好的银行办理业务;
3、谨慎使用手机银行APP执行转账等敏感操作,大额转账后应和对方确认;
4、提高信息安全意识,保护个人隐私数据。
(五)勒索病毒模仿王者荣耀辅助工具袭击手机
今年最火爆的游戏《王者荣耀》,常年霸占各类游戏类排名的榜单,拥有玩家无数。然而2017年6月份,一款冒充“王者荣耀辅助工具”的勒索病毒,通过PC端和手机端的社交平台、游戏群等渠道大肆扩散,威胁几乎所有安卓平台手机,手机一旦感染,里面的照片、下载、云盘等目录下的个人文件就会被加密,如不支付勒索费用,文件将会被破坏。
风险如下:
—个人隐私完全暴漏,诸如工作、身份、联系方式、好友关系、财务信息等,都可能被曝光在网络上,并会把这些信息出售给坏人。
—帐号有明确使用外挂记录,有可能导致帐号被封,影响正常使用。
(八)安卓爆出核弹级高危漏洞
2017年12月4号,Google通过其官方网站通告了高危漏洞CVE-2017-13156(发现厂商命名为Janus),该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码,目前安卓5.0—8.0等个版本系统均受影响。
该漏洞存在于Android系统用于读取应用程序签名的机制中,会在不影响应用签名的情况下向正常的AndroidAPK或DEX格式中添加恶意代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。
(九)黑客用理财APP漏洞半天提现千万
(十)今日头条回应“停更24小时”:正视问题,积极整改
2017年12月29日,国家互联网信息办公室指导北京市互联网信息办公室,针对今日头条、凤凰新闻手机APP客户端持续传播色情低俗信息、违规提供互联网新闻信息服务等问题,分别约谈两家企业负责人,责令企业立即停止违法违规行为。
今日头条手机客户端“推荐”“热点”“社会”“图片”“问答”“财经”等6个频道自2017年12月29日18时至12月30日18时暂停更新24小时、凤凰新闻手机客户端“头条”“推荐”等2个频道自2017年12月29日18时至12月30日6时暂停更新12小时。
附录三移动应用安全监测方法
(一)参考标准
《中华人民共和国网络安全法》
《信息安全技术网络安全等级保护基本要求第3
部分:移动互联安全扩展要求》
《移动互联网应用程序信息服务管理规定》
《移动互联网APP发布平台安全防护检测要求》
《移动互联网应用安全管理规范第1部分:安全监
测管理过程指南》
《移动互联网应用安全管理规范第2部分:发布服
务安全技术要求》
《移动互联网应用安全管理规范第3部分移动互
联网应用安全监测要求》
(二)安全监测内容
移动互联网应用安全监测的主要内容包括违法应用、内容违规、盗版应用和应用漏洞等四个方面的安全监测。
(1)违法程序监测
窃听用户通话
窃取用户信息
破坏用户数据
主要监测移动应用是否有通过入侵用户手机伪造、篡改、劫持短信、彩信、邮件、通信录、通话记录、收藏夹、桌面等行为,以诱骗用户,达到不正当目的。
擅自使用付费业务
发垃圾信息
推送欺诈信息
影响移动终端运行
主要监测移动应用是否存在通过感染、劫持、篡改、删除、终止进程等手段影响移动终端的正常运行的行为。
危害互联网安全
主要监测移动应用代码是否存在安全隐患、是否安全合规等可能危害互联网安全的问题。
(2)内容违规监测
根据媒体内容,将涉及内容安全的行为或画面分为色情低俗类、暴力恐怖类、吸毒贩毒类、聚众赌博类、其他有害信息类等类别,支撑内容分级实施细则。
色情低俗类
主要监测移动应用中是否出现色情低俗类信息内容,具体识别过程参考内容违规研判细则。
暴力恐怖类
主要监测移动应用是否出现包含暴力恐怖类信息内容,具体识别过程参考内容违规研判细则。
危害国家安全类
主要监测移动应用中是否出现反党发动类信息内容,具体识别过程参考内容违规研判细则。
吸毒贩毒类
主要监测移动应用是否存在涉及包括吸毒、制贩等违法犯罪的方技术工艺经验在内的任何涉毒违法有害信息内容,具体识别过程参考内容违规研判细则。
聚众赌博类
主要监测移动应用中是否出现赌博类信息内容,具体识别过程参考内容违规研判细则。
其他有害类
主要监测移动应用中是否出现其它有害类信息,具体识别过程参考内容违规研判细则。
(3)盗版应用监测
盗版应用主要通过盗用正版应用的图标、名称、仿冒知名软件功能、盗用正版软件界面等方式混淆用户,诱导用户下载安装并实施恶意行为损害用户利益。
图标盗用类
盗版应用直接使用正版应用的图标,或对正版软件图标进行一些微小变形(如拉伸、旋转、加水印等)后的图标作为应用图标。这种方式利用用户的弱视觉辨别和疏于细节的习惯,混淆用户使其相信该仿冒图标代表正版应用,从而实施进一步的恶意攻击。
名称盗用类
盗版应用直接使用正版应用的名称,或使用与正版应用在字面或含义上极其相似的名称作为自己的应用名。如故意在正版软件名称中加上“正版”、“官方”、“手机”等字样诱导用户。此外,不少盗版应用还利用正版应用的某项功能名称作为应用名,这种方法利用了用户的使用习惯和相信权威的思维习惯。
用户界面盗用类
二次打包类
(4)应用漏洞监测
通过分析应用自身的安全威胁,依据应用数据流的位置和动向,并结合移动端系统架构,从应用层、服务器层、数据存储层、网络传输层等四个维度进行应用漏洞检测。
应用层漏洞
主要监测应用组件暴露导致的安全问题,比如数据库接口暴露导致的数据库被篡改、窃取等、其他组件暴露导致的信息劫持和欺骗等,以及手机应用内其他配置和代码安全。
服务器层漏洞
主要监测应用系统的网络服务对外暴露的API接口存在的SQL注入、XSS、缓冲区溢出、弱口令等安全问题。
数据存储层漏洞
主要监测应用的数据文件的权限、输入、存储、显示等安全问题,数据文件及其所在文件夹的权限配置导致的安全问题;应用涉及的隐私数据输入、存储、备份、显示等安全问题。
网络传输层漏洞
主要监测应用与后台及用户之间的网络传输安全、网络传输时携带数据、参数安全等;对中间人攻击的防御等。
(三)安全监测流程
为了更加有效、快速地针对移动互联网应用的合规、安全进行全面的监测,构建了一套基于行为特征库的、集搜索、抓取、自动化扫描、自动化分析、智能识别的系统平台,结合人工审核研判,实现移动应用安全监测过程(如下图7-1所示)。
(2)自动安全分析:对App样本进行静态分析,格式化待审核信息。
(3)自动化比对判断:通过与基准正版App信息库做比较,识别出盗版应用提交人工审核。
(4)自动化识别判断:通过文字和图片的自动识别,判别出内容违规应用提交人工审核。
(5)自动化扫描:通过安全扫描器识别App中的高危漏洞,提交人工审核与验证。
(6)沙盒动态分析:通过沙盒动态分析技术,识别出应用运行中存在的危险行为,判别为恶意应用后交人工进一步分析审核。
(7)人工验证研判:人工通过静态分析验证和动态行为分析验证后,将结果入库。