中国IDC圈8月18日报道,8月初,工信部公布了第二季度电信服务质量通告,通告显示,今年第二季度各类应用商店中的不良软件达到32款。涉及违规收集使用用户个人信息、恶意"吸费"、强行捆绑推广其他无关应用软件等问题。其中,游戏娱乐类应用占据了被公布名单的一半以上,游戏类APP面临的移动安全形势严峻。
图1. 2016年第二季度各类应用商店中的32款不良软件名单
游戏娱乐类APP风险现状分析
通付盾移动应用监测平台的数据显示,目前市面上的危险移动应用主要包括三类,即:恶意程序应用、仿冒伪造应用和高危漏洞应用。游戏娱乐类APP由于其休闲趣味的行业特性和投资回报率相对较高的特点,常年占据移动应用市场下载榜前列位置,因此也成为了不法分子和攻击者关注的对象。
从通付盾移动安全实验室日前发布的应用市场分析报告来看,2016年第二季度,游戏娱乐行业危险应用数量远高于其他行业,是移动安全的重灾区。
图2. 通付盾此前发布的二季度各行业危险应用统计图
一方面,游戏娱乐APP开发者编码不规范、安全意识不够、接口处理不严谨或用户信息未做处理容易导致敏感信息泄露;另一方面,在游戏娱乐危险应用的重灾区,各大安卓市场上,开源的Android系统上0day的发现,使得android app以前安全的功能变得不安全,在android系统没有补丁的情况下,漏洞存在导致APP受攻击风险加剧;更危险的是,漏洞一旦被不法分子利用,可能直接导致恶意程序应用和仿冒应用的产生。
游戏APP如何远离风险?
第一招、安全检测——远离高危漏洞
游戏娱乐类移动应用漏洞主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误、拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。通付盾移动安全实验室日前发布的应用市场分析报告披露,在二季度被发现的移动应用漏洞中,有近20%为高危漏洞。漏洞的存在尤其是高危漏洞,会对app开发者甚至用户带来较大影响,一旦漏洞被利用,有可能造成用户隐私泄露、敏感数据丢失、资金窃取、系统破坏等严重的安全问题。
通付盾针对游戏娱乐应用的安全检测,从应用层、网络传输层、数据存储层、服务器层四部分,对市场上的移动应用进行全面审核,发现诸如数据库接口暴露导致的数据库被篡改窃取、其他组件暴露导致的信息劫持和欺骗、敏感数据未进行完整性校验、数据文件的权限、输入、存储、显示问题、SQL注入、XSS、缓冲区溢出、弱口令、数据库泄露等安全问题,为开发者发现应用中存在的潜在风险与漏洞,大限度地保护开发者和广大消费者利益。
通付盾针对游戏娱乐应用的安全加固,针对游戏娱乐应用存在的安全隐患和检测出的漏洞,提出完整的游戏类应用安全解决方案,全面覆盖APK加固、SDK加固、iOS加固,有效对抗代码注入、逆向工程、反编译等恶意行为,保障游戏娱乐应用的安全,并从根本上减少恶意应用和仿冒应用出现的可能性。
第二招、渠道监测——避免仿冒伪造
通常来讲,盗版软件的数量与正版软件的下载量成正比。2015年的一份手机应用盗版情况报告显示:下载量在10万以下的应用盗版数量约为39.4款,随着下载量的升高,盗版数量也随之增多,当一款软件下载量在1000万-5000万之间时,盗版数量竟然高达436.7款。游戏娱乐类应用由于下载量和使用量常年居高不下,而成为了仿冒应用的重灾区。
这些仿冒应用的存在给正版游戏开发者造成了巨大的经济损失。一方面,仿冒应用的存在影响了正版游戏的下载情况;另一方面,由于制作水平较差,还可能让手机产生卡顿、死机等问题,极大的影响了用户体验;更重要的,盗版应用由于没有系统的安全加固而极易产生漏洞,而承担这些后果的却是正版开发者。
通付盾移动应用渠道监测,覆盖国内外600+应用发布渠道,并从渠道分布、应用版本、下载量以及盗版率等多个维度,对移动应用进行快速识别与深入分析,形成完备的监测报告。开发者可以一站式监控全网盗版信息,第一时间发现盗版APP,保护企业的合法权益。
第三招、提高安全意识——杜绝恶意应用
通付盾发布的2016年二季度移动应用安全监测报告显示,在移动应用市场现存的恶意应用中,资费消耗的恶意行为数量居首,占比33.64%,其次是隐私窃取行为和流氓行为的应用,分别占比21.05%和16.53%。
图3. 通付盾发布的二季度移动应用市场恶意应用类型统计图
游戏娱乐行业恶意应用的存在,势必侵犯用户和开发者的切身利益,严重影响市场秩序:
第一、恶意应用伪装成游戏,实际是为了将携带的木马侵入用户手机,窃取用户身份信息和银行卡信息,盗取用户数字钱包、网银内的资金;
第二、恶意应用消耗网络套餐资费,有些恶意应用订阅收费服务扣除用户账户资金;
第三、恶意应用伪装成游戏,实际是将木马植入用户手机,使得不法分子可以远程控制用户设备,并发静默下载、系统破坏等多种问题。
对此,通付盾建议移动应用开发者、使用者、监管机构和移动应用市场提高移动安全意识,从根本上杜绝恶意应用的产生:
a. 消费者提高安全意识,下载正规厂商出品的、经过安全加固的移动应用,对于来源不明、开发者不明的应用程序拒绝下载;
b. 正规应用开发者提高自身的安全意识、规范编码,在应用上线前做好应用检测和应用加固,防范恶意仿冒应用的出现;
c. 正规应用开发者提高版权意识,与安全厂商联手,利用大数据监测并发现恶意应用、仿冒应用,在恶意应用造成严重后果前及时予以制止;
d. 应用市场和监管层应充分认识到恶意应用对开发者、使用者和市场秩序的多重危害,做好恶意应用排查,还游戏应用市场晴朗天空。