構建三位一體的移動應用安全風險評估模型

摘要：在分析我國近年來移動應用安全現狀的基礎上，結合移動應用的檢測需求和檢測技術現狀，提出了安全檢測、源代碼分析、渠道監測三位一體的移動應用安全評估平台的構架和部署模式，從漏洞檢測、環境安全評估、程序安全評估、業務安全評估、數據安全性評估等方面構建了移動應用上線交付的安全評估指標，形成了全生命周期的移動應用安全能力評估框架和測試方法。最後，結合產業鏈的健康發展，給出了移動應用安全監管的對策與建議。

正文內容：

0　引　言

隨著移動互聯網的普及，智能終端和移動應用得到了迅猛發展。2017年2月22日，全球領先的移動互聯網第三方數據挖掘和分析機構艾媒諮詢權威首發《2016-2017年中國移動應用商店市場監測報告》。報告顯示，2016年第四季度，第三方移動應用商店活躍用戶規模增長到4.53億人。移動互聯網用戶的「爆炸式」增長、雲存儲技術的日益成熟以及移動通信網路數據上網的逐步提速，促使移動應用市場規模快速壯大，也使人們的日常生活發生了深刻變革。在利益驅使下，部分移動應用開發商設計惡意移動應用程序，使得惡意吸費、惡意內嵌廣告、隱私竊取、誘騙欺詐等一系列移動應用安全問題越來越突出，嚴重損害了用戶利益，制約了移動應用市場的良性發展。面對日益凸顯的移動應用軟體安全問題，如何提高移動應用和智能終端安全性、保障用戶合法權益，成了整個社會共同關注的熱點話題。

1　移動應用安全現狀

通付盾發布的2016年度《移動應用安全態勢報告》[1]，對295個移動應用市場和移動應用分發平台的3 641 831個移動應用進行了評估，分析發現惡意應用軟體34 149個、盜版應用23 089個、高危應用37 838個，總數達95 076個，占移動應用總數的2.61%，主要集中於生活服務、遊戲娛樂、教育培訓等行業。這將對用戶隱私、財產安全等造成潛在威脅。

1.1　移動病毒樣本急增，向智能化、隱蔽化發展

阿里聚安全移動病毒樣本庫2016年新增病毒樣本達3 284 524個[2]，平均每天新增9 000個樣本，相當於每10 s生成一個病毒樣本。阿里聚安全2016年的統計報告顯示，2016年各月新增移動病毒樣本數量如圖1所示。

病毒入侵手機後，首先檢測宿主手機是否裝有制毒者指定的第三方應用，如果有，則病毒發作，欺騙用戶誤認為應用本身的惡意行為，從而蒙蔽用戶，偽裝自己。這樣不僅損害第三方應用的名譽，而且對用戶的手機安全帶來一定危害。

1.2　移動應用仿冒、釣魚情況嚴重

阿里聚安全2016年度從16個行業中分別選取了15個熱門應用，發現240個仿冒應用，其中89%的熱門應用存在仿冒，總仿冒數量高達12 859個，平均每個應用仿冒數量達54個，總感染設備量達2 374萬台。仿冒應用中，55%為惡意行為，45%為盜版軟體。其中，惡意行為主要具有流氓行為、惡意扣費、簡訊劫持或隱私竊取等。具有惡意行為的仿冒應用，對手機用戶的賬號、資金、隱私安全存在較大的安全風險。

當前的移動應用市場面臨著如下安全問題：

（1）軟體數量多、企業規模小、發布渠道廣、版本更新快；

（2）移動應用質量參差不齊，傳統服務模式面臨成本壓力；

（3）移動應用容易被逆向工程，應用軟體容易被篡改；

（4）渠道混亂，部分渠道甚至成為滋生惡意應用的溫床。

1.3　軟體被二次打包，病毒危害特徵呈多樣化

病毒緊盯熱門遊戲或知名軟體進行二次打包、篡改感染已經成為一種趨勢。病毒製造者一般通過植入惡意代碼或者廣告插件的方式攫取利潤。他們對軟體或熱門遊戲進行反編譯，分析應用軟體源代碼或中間代碼，將惡意代碼、廣告代碼植入其中，然後重新編譯和打包。一方面通過應用商店、網站論壇、二維碼鏈接、雲存儲等主流的渠道投放出去；另一方面，通過與其他應用軟體綁定，在其他軟體頁進行懸浮窗提醒、彈窗廣告、通知欄提醒等多種形式誘騙用戶點擊安裝。在用戶安裝成功後，流氓行為便觸發。制毒者和非法廣告渠道商會對非法利益進行分成，這些利益主要來自於用戶點擊廣告、智能終端靜默下載軟體產生的非法推廣利益。

2　移動應用安全評估模型

鑒於當前移動應用快速增長的發展趨勢和安全風險，本文提出構建集安全檢測、源代碼分析、渠道監測三位一體的移動應用安全風險評估模型，並搭建基於B/S架構的安全檢測平台，實現對移動應用安全從開發、交付到運行全生命周期的安全評估。

2.1　平台部署

移動應用安全評估平台部署，如圖2所示。

平台部署考慮到渠道監測的流量和數據要求，建議將渠道監測模塊部署在專有雲平台上，既保證數據流量的要求，又可以確保監測數據的安全性。APP安全檢測和源代碼檢測的伺服器建議部署在內網中，通過防火牆和入侵檢測系統實現網路邊界的安全防護，以保證檢測報告的安全性。

2.2　移動應用安全評估平台架構

移動應用安全評估平台主要針對移動手機端的Android應用和IOS應用的整個體系結構進行評估，計劃主要包括三部分內容，重點針對Android版的移動應用：

（1）開發階段：源代碼分析；

（2）交付階段：漏洞掃描、安全評估；

（3）運行階段：渠道監測。

開發階段的源代碼代碼安全分析有助於快速定位安全問題，高效低成本地解決安全問題。平台通過與源代碼測試工具的整合，提供了移動應用開發過程的安全編碼檢測、代碼凈化、安全編譯以及對外部代碼引入的安全檢測，避免存在SQL注入、敏感信息泄露等安全風險。在交付階段，通過定向檢測，結合構建的涉及病毒、漏洞、程序安全、數據安全、環境安全等多方面的評估指標體系[3]，確保上線APP的安全可靠。平台採用統一的引擎分析，快速掃描、快速執行檢測，並快速生成檢測報告。以安卓版的檢測為例，其工作原理如圖2所示。

3　移動應用安全評估指標

移動應用交付前，從應用所處開發平台和移動應用本身存在的安全隱患出發，基於移動應用程序包反編譯、逆向等技術，構建移動應用安全評估指標。指標將從應用漏洞檢測、系統環境安全、程序安全、業務應用安全、數據安全等方面進行綜合考慮。

3.1　移動應用漏洞檢測

檢測APP軟體是否存在病毒、木馬、吸費代碼等惡意特徵以及敏感信息泄露、服務攻擊、文件目錄遍歷漏洞等安全問題。相關檢測指標和檢測內容如表1所示。

3.2　移動應用安全評估

在病毒和漏洞檢測的基礎上，主要從數據安全性評估、程序安全性評估、業務安全性評估和系統境安全性評估[4]四方面構建安全評估指標。

3.2.1　系統環境安全性評估

系統環境安全性評估主要包括對伺服器地址篡改、輸入監聽、系統文件破壞、惡意動態注入、釣魚攻擊、網路監聽、關鍵數據截獲等項目的評估。其中，輸入監聽重點檢測程序運行時是否存在被輸入時屏幕截屏/錄屏、數據輸入攔截/劫持、數據輸入篡改等風險；惡意動態注入檢測應用是否存在動態注入攻擊風險，能否劫持目標進程函數、竊取目標進程數據、篡改目標進程數據等。

3.2.2　程序安全性評估

程序安全性評估從應用的安裝與卸載、人機交互、登錄檢測、程序完整性、發布規範、應用安全性等方面進行評估，包括第三方庫安全性、APP篡改、APP反向編譯、界面劫持、程序發布、版本規範等評估項。其中，APP反向編譯檢測檢測應用程序中的Java代碼是否採取加密保護，是否能夠通過baksmali/apktool/dex2jar等反編譯工具逆向出代碼，造成核心代碼邏輯泄露、重要數據加密代碼邏輯泄露等。

3.2.3　業務安全性評估

對金融類APP、遊戲類APP和政務類APP等不同業務應用，可以結合應用的使用場景，制定不同的評估指標。指標可以包括認證過程安全性、證書監測、Session安全性、功能安全測試、密碼安全性、中間人攻擊等評估項；檢測應用是否對客戶端和服務端證書進行有效性校驗，資源文件中的證書文件是否為明文存儲，是否存在Content Provider數據泄露風險，WebView組件是否存在忽略SSL證書驗證錯誤等。對於金融類APP，還可增加篡改交易檢測、任意賬號密碼重置檢測和越權查詢用戶信息檢測等。

3.2.4　數據安全性評估

數據安全性評估主要包括存儲安全性檢測、H5文件明文存儲檢測、資源文件篡改分析、賬號等敏感數據內存運行安全性、圖片冗餘數據安全性、日誌信息安全性等評估指標。其中，存儲安全性檢測檢測移動APP的敏感數據是否採用外部存儲（如sdcard卡），如果使用，是否僅限制本應用訪問，而其他任何可以有訪問Sdcard許可權的應用均不能訪問。H5文件明文存儲檢測檢測移動APP中的H5資源文件是否進行混淆加固，避免泄露頁面基本布局和一些重要的信息。資源文件篡改分析檢測移動APP中的資源文件是否未做資源加密、包簽名驗證、包完整性驗證等措施，重要資源是否存在被篡改的風險，造成程序被直接修改、資源被打包成山寨應用。

4　結　語

本文分析了移動應用安全威脅新趨勢，提出了監管移動應用安全需要建立三位一體的安全評估平台，並提出了移動應用安全交付使用時的評估指標體系，形成了移動應用安全能力評估的整體框架和測試方法。

面對移動應用安全防護能力嚴重匱乏的現狀，呼籲國家相關安全管理部門高度重視，圍繞開發者、應用商店等產業鏈核心參與者，制定移動應用安全防護能力管理措施。第一，以安全底線為基本管理原則，規範移動應用具備的底線安全能力，提升開發者安全能力，強化移動應用網路安全基礎對抗能力，發揮風險防範作用；第二，引入平台治理模式，強化平台主體責任，應用商店等從事移動應用分發服務的互聯網信息服務提供者，應參照移動應用安全平台的構架，強化移動應用安全防護能力檢測和監測[5]；第三，建立移動應用安全防護能力事中事後監測審查機制，相關監管可採用「監測分析+定期通報+行政處理」模式，敦促和規範移動應用健康發展。

參考文獻：

[1] 江蘇通付盾科技有限公司.2016年度《移動應用安全態勢報告[EB/OL].(2017-03-13)[2017-09-22].http://www.sohu.com/a/128701727_466220.

[2]阿里聚安全.2016互聯網安全年報[EB/OL].(2016-02-25)[2017-10-15].http://digi.163.com/16/0225/19/BGM02RCN00162017T.html.

[3] 陳建民.基於行為的移動應用程序安全檢測方法研究[J].計算機工程與設計,2012,33(12):4480-4481.

[4] 陳希,劉穎卿,葉蘊芳.構建移動應用安全評測體系[J].電信工程技術與標準化,2015(12):13-15.

[5] 於成麗.移動應用安全防護能力評估方法研究[J].電信網技術,2017,1(01):49.

作者：張　君

單位：浙江省電子信息產品檢驗所，浙江 杭州 310007

作者簡介：張　君，女，碩士，高級工程師，主要研究方向為軟體和信息安全。

本文刊登在《通信技術》2018年第2期（轉載請註明出處，否則禁止轉載）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！