6月12日,在2019騰訊安全國際技術峰會上,騰訊安全科恩實驗室發佈《2018年Android應用安全白皮書》(簡稱“白皮書”)。白皮書指出,在檢測的1404個樣本App中,僅23個未檢測出安全風險,剩下 1381 個 App 中共發現 37920 個安全問題,佔比高達98%。
98%App存在安全問題
有數據顯示,截至 2018 年 12 月,我國手機網民規模達 8.17 億。在智能手機中,基於Android系統的佔比超過80%,蘋果iOS系統佔比19.7%。
值得關注的是,安卓應用安全亟待加強。截至 2018 年第三季度末,G DATA(一家專注於信息安全研究的專業殺毒軟件公司)統計數據顯示,在安卓系統發現超過 320 萬個新的惡意樣本,平均每天發現超過11000個新的惡意軟件樣本。
白皮書顯示,此次安卓移動應用檢測中,騰訊科恩實驗室從影音播放、通訊社交、新聞閱讀等14種類型的App中,選取了2018年下載量前100左右的共計1404個App進行分析。
結果顯示,存在安全問題的App有1381 個,佔比高達98%, 共發現 37920 個安全問題;僅23個未檢測出安全風險。
92%App過度收集核心隱私權限
近年來,移動應用違規收集用戶信息、因安全問題洩露用戶數據的問題被屢屢曝光,引起不少群眾的擔憂。同時,國家也從法律法規的角度不斷推進用戶信息保護。
《網絡安全法》中明確規定要加強個人信息保護;2019 年 1 月,中央網信辦、工信部、公安部、市場監管總局四部委聯合發佈《關於開展 App 違法違規收集使用個人信息專項治理的公告》,持續加大保護力度,專項治理 App 違法違規收集使用個人信息的行為,探索長效監管機制。
白皮書指出,本次檢測中,在 1404 個 App 中共發現 1292 個 App 存在過度收集核心隱私權限的問題。其中,294 款 App 隱私條款內容不達標,998款沒有隱私政策。
被過度收集或使用的隱私數據主要包括位置信息、通訊錄信息、手機號碼等。其中,共計 165 款 App 涉嫌過度收集位置信息。涉嫌過度收集或使用短信、手機號碼、身份信息的分別有 113 款、104 款、17 款 App。
比如,某電商 App 在運行過程中收集了位置信息、通訊錄信息、身份信息、銀行卡號、手機號碼、短信等隱私數據,但在隱私政策中並未明確告知應用會收集上述信息,亦沒有告知使用這些信息的用途。
隱私條款內容不達標,意味著App在收集用戶信息時,未告知收集信息的類型,且收集敏感信息時未明確告知用途。
近半App調用的SDK有漏洞
隨著移動應用功能複雜化與交互多樣化,App涉及的個人信息可能包括身份信息、健康狀況等信息。白皮書指出,App在將這些敏感數據保存在本地時,面臨洩露的風險。
比如,當數據存儲在外部存儲卡等不安全區域時,會引起關鍵數據洩露。例如,某款音箱應用將網絡交互明文記錄在日誌文件中,並存在外部存儲卡中,其中包含的關鍵數據洩露可致使音箱被遠程控制。
白皮書還稱,大量App開發商為了增強應用功能、縮短開發週期,會調用第三方庫(SDK)。但部分SDK在開發過程中並不注重代碼的安全性。
本次檢測共分析了市面上數十款主流 SDK。在 1404 款樣本 App 中,共有 1038 個 App調用了 2166 次 SDK,其中646 個 App 調用的1047個SDK存在漏洞,佔到總數的近一半。
文/南都個人信息保護研究中心研究員 尤一煒