查看原文
其他

观点 | 移动应用安全有何新动态?

2017-01-03 中国信息通信研究院CAICT

再不点蓝字关注,机会就要飞走了哦

摘要


“互联网+”形势下,移动应用安全威胁呈现新态势。一是移动恶意应用治理初见成效,但开发环节安全问题凸显;二是隐私大数据攻击模式显现,漏洞潜在威胁攻击面扩大;三是移动新业态不断驱动出现,安全防护基础亟需夯实。为此,相关行业主管部门应积极引导提升移动应用安全防护能力水平,强化企业移动应用安全防护能力审查力度,推动相关技术标准贯彻实施,鼓励第三方机构建立专业移动应用安全漏洞应急响应通报平台,促进行业健康发展。

 1 

安全新态势

自2010年8月,Android平台首度发现公认病毒起,移动应用安全问题不断爆发涌现,多年来经过各方长期博弈,移动应用威胁逐步呈现新态势。

 

(一)恶意应用治理初见成效,正面战场风险部分控制

 

2015年恶意应用数量依然庞大,但增速逐步呈现放缓态势。阿里聚安全发布的《移动安全病毒年报》统计,2015年下半年病毒查杀量比上半年下降23%,下半年感染设备量比上半年下降38%,移动恶意代码量和用户感染量均呈下降趋势。长期以来,国内移动安全关注点较多聚焦于恶意应用,随着相关管理部门综合治理及国内安全检测技术、标准日趋成熟,针对恶意应用的安全对抗体系逐步建立,安全风险得到部分控制。

 

(二)开发环节安全问题凸显,安全漏洞引发木桶效应

 

移动应用开发环节引入的漏洞等问题被黑产广泛利用,致各类安全威胁趋增且未得到有效控制,成移动应用安全脆弱点。2016年7月,通付盾移动安全实验室发布的《2016第二季度移动应用安全监告》监测到3,343,986个高危漏洞;阿里聚安全发布的《2015互联网安全年报》显示,97%热门APP存漏洞,安卓系统漏洞同比去年暴增10倍,iOS系统安全漏洞同比增长1.28倍。在移动安全大事记中,苹果XcodeGhost及威胁数亿用户的百度系SDK漏洞事件给业界敲响了安全警钟,移动开发环节引入的安全问题不断升级演变,成为制约移动生态从源头健康发展的一大掣肘。

 

(三)隐私大数据攻击模式显现,漏洞潜在攻击面扩大

 

移动应用安全攻防呈愈演愈烈之势,一是威胁攻击手段持续进化,更具针对性的隐私大数据攻击模式显现。移动应用黑色产业链迅猛发展,其将积累的数据与移动平台隐私信息进行大数据关联分析,深入建立受害者档案画像,对目标进行针对性攻击。二是移动应用尚处安全防护空窗期,漏洞潜在威胁攻击面持续扩大。移动智能终端缺少传统信息系统安全防护机制和安全产品,助力于用户建立坚固安全防线,用户安全意识也普遍薄弱,恶意攻击者将利用此防护空窗期发起更多攻击。

 

(四)移动新业态驱动出现,安全防护基础亟需夯实

 

“互联网+”形势下,在开发环节减少应用安全缺陷,提升其防攻击、防篡改、防病毒等安全防护能力(简称“移动应用安全防护能力”)的需求日益迫切。一是移动互联网与大数据、云计算深度融合,安全问题涵盖信道、系统、应用等各方面,移动应用漏洞安全风险的木桶效应将被进一步放大。二是在大数据生态环境下,移动应用更多承载实体经济、社会管理功能,涉及个人隐私、商业秘密和国家安全重要数据,由漏洞衍生的大规模数据泄露、远程攻击后果不可估量。


 2 

国内外情况

在移动应用安全防护能力凸显不足形势下,如何在设计、编码、发布等环节控制风险,提升安全防护能力引关注。

 

从国外来看,各国主要以法律规范和行业标准引导为主,旨在减少移动应用开发过程产生的安全缺陷。2012年10月,加拿大隐私专员办公室与阿拉伯塔省和不列颠哥伦比亚省隐私专员办公室联合发布《移动APP开发隐私指南》,该指南指出开发者在APP设计和开发过程,应如何加强个人隐私数据的安全保障;2014年4月,日本智能终端安全社JSSEC发布《Android 应用软件安全设计/安全代码指导书》,指导书对Android应用安全开发组件和用户权限安全使用作出规定;2014年8月,美国国家标准与技术研究院NIST从管理角度出台NIST SP 800 163,规范企业评估移动应用自身安全性流程方法,供企业参考。

 

从国内来看,阿里聚安全、江苏通付盾等安全企业业务范围逐步覆盖移动应用安全开发,CCSA等行业标准组织亦开始关注相关安全标准。2015年11月,阿里巴巴等在CCSA,联合牵头立项标准《移动应用开发安全能力技术要求》;12月,中国移动终端公司发布新《终端应用开发指南》,通付盾在移动智能终端峰会上分享《移动APP安全开发手册》;2016年1月28日,中关村网络安全与信息化产业联盟EMCC工作组,编制了《EMCG应用软件审核指南》和《EMCG应用软件开发安全指南》。2018年7月,中国信息通信研究院等在CCSA联合牵头立项标准《移动应用开发安全能力评估方法》。


 3 

问题与挑战

(一)行业聚焦移动恶意程序治理,开发环节监管缺位

 

当前我国移动应用行业监管主要聚焦在恶意程序治理上,移动开发生态基础环节安全仍缺乏整体行业引导和管控。监管机构需协调产业发展和安全关系,坚持“把握源头”和“全程监控”原则,充分认识由开发环节引入的安全风险和当前面临的挑战,对移动应用进行全生命周期安全管理,提升其安全防护能力。

 

(二)相关标准体系尚未形成,安全生态呈孤岛局面

 

移动应用安全防护能力匮乏问题虽已引发行业关注,但安全生态仍呈孤岛局面。一是统一有效安全开发、检测行业标准尚未建立,开发者仍缺乏基本安全要求和安全技术指导;二是开发者、应用分发平台、安全企业联动配合匮乏,覆盖移动应用编码、发布、流通全生命周期服务体系仍未建立,产业协会、联盟未形成强有力的牵引力量,促进移动安全生态健康发展。

 

(三)开发者安全意识与技术薄弱,企业安全投入不足

 

为抢占移动互联网入口,企业各方不遗余力地推广与更新自身应用。然而,一是开发者安全意识薄弱,安全威胁认识不足,面对产品更新压力放宽安全要求简便操作;二是多数开发者安全技术水平匮乏,无法对移动应用开发环节安全风险进行有效控制;三是企业普遍无意加大安全投入,重用户体验而轻安全保保障,移动应用安全防护能力虚弱。


 4 

应对策略

(一)强化移动应用安全防护能力审查机制

 

我国相关主管部门应积极引导提升移动应用安全防护能力水平,增加企业移动应用安全防护能力审查力度。一是将其作为基础电信企业网络与信息安全责任制考核要点,积极推动工作落实;二是深入贯彻《国务院关于积极推进"互联网+"行动的指导意见》,重点开展“互联网+”普惠金融、“互联网+”益民服务、“互联网+”电子商务、“互联网+”高效物流等典型互联网企业移动应用安全防护审查试点示范工作,健全行业网络安全防护审查机制。

 

(二)增强监管标准技术支撑能力,强化平台主体责任

 

一是完善相关标准体系,切实推动“移动应用开发安全能力技术要求/评估”等标准贯彻实施,为安全开发、测评提供指导;二是增强监管技术支撑能力,支持国内第三方检测、评估、认证相关技术手段建设,为行业监管提供有力抓手;三是引入平台治理模式,移动应用分发平台在应用上架前的安全审核中,应增加移动应用安全防护能力测试评估,安全防控分发源头。

 

(三)提升开发者安全意识和能力,激励安全技术创新

 

一是展开“移动应用安全开发”宣传周活动,推进网络安全文化建设,增强开发者安全意识;二是开展APP安全开发培训、竞赛,提高开发者安全开发能力;三是组织产业峰会、学术沙龙,加强技术交流,鼓励安全技术创新。


作者简介

于成丽,硕士研究生,中国信息通信研究院安全研究所助理工程师,主要从事移动应用安全、数据安全相关理论、技术及标准等方面的研究。

联系方式:yuchengli@caict.ac.cn。

推荐阅读

PPT | ICT服务业领域深度观察成果发布!


PPT | 互联网领域深度观察成果发布!



快,点击阅读原文,一起涨姿势~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存