移动终端APP应用安全问题突出

来源:中国信息化周报
关键字:移动终端,APP,木马
发布时间:2015-09-07 15:49

　　随着智能手机和4G、5G应用的普及，以及智慧城市应用的实现，移动互联网安全形势将更加严峻，已受到世界各国和全社会的关注。

　　随着智慧城市和移动互联网的快速发展，智能手机、平板电脑等移动终端用户数量呈爆发式增长，智能终端型号五花八门，应用多样，极大方便了广大用户日常工作、学习、生产和生活。然而，手机等终端安全问题越来越突出，窃取通信录、照片、位置信息、通话记录、短信内容、应用密码账户等个人隐私和敏感数据时有发生，利用电信欺诈、手机银行窃取他人资金、非法获取他人电话号码推送垃圾广告等违法犯罪活动十分猖獗，严重影响了广大用户的正常学习、生活和工作。随着智能手机和4G、5G应用的普及，以及智慧城市应用的实现，移动互联网安全形势将更加严峻，已受到世界各国和全社会的关注。

　　目前，从用户对智能手机的使用情况看，大多数用户只关心手机的使用功能、性能和便捷性、可用性等问题，不同类型的用户群安全意识差别较大。很有必要让广大用户了解相关情况，深入关注移动终端安全，提高智能手机的安全使用水平和安全意识。常见的智能手机安全威胁主要包括：恶意代码威胁（木马）、应用程序中的隐蔽功能威胁、隐通道和安全漏洞/后门威胁、特殊功能和特定服务中的威胁以及针对相关基础设施的威胁和针对数据内容的其他攻击威胁。其中，智能手机应用安全问题已备受专家和安全机构的关注。

　　APP应用发展现状

　　工业和信息化部发布的数据显示，截至2013年1月，全国移动电话用户达到11.22亿户。其中，3G用户达到2.46亿户，移动互联网用户达到7.87亿户。移动App应用的增长迅速。目前，拥有过亿用户的移动应用已达10款左右，包括微信、新浪微博、手机淘宝、UC浏览器、搜狗输入法、91手机助手、360手机安全卫士、高德地图、美图秀秀及墨迹天气等。以苹果官方应用商店App Store为例，截至2013年1月7日，App Store的应用下载量已经突破400亿次，总活跃账户数达5亿个。2012年6月，App Store应用下载量达到300亿次，活跃账户超过4亿个，应用总量为65万款。在6个月的时间内，App Store新增1亿活跃用户、12.5万款应用和100亿次下载量。目前，App Store面向155个国家开放，共有77.5万款应用，其中原生iPad应用超过30万款。苹果App Store在2012年共新增了约34万个应用，2011年为30万个，应用数量以加速度攀升，苹果App Store的日均收入高达1500万美元。根据艾瑞咨询（iResearch）的监测数据，截至2012年3月，App Store中国区的应用总数超过66万个（660376个），其中免费应用占比为41.9%，免费应用的重要收益来源之一是广告。

　　选择使用App应用客户端的用户比例正在快速增长。据艾瑞咨询（iResearch）2012年底的移动互联网用户行为大调研数据显示，有57.8%的用户会登录手机浏览器，42.2%的用户会登录客户端应用，二者的占比几乎接近1∶1，首先选择登录客户端应用的用户比例大幅增长。这无疑是2012年移动App应用良好发展的一个佐证，并且，移动App应用已经改变了或正在改变用户的手机使用习惯。

　　APP应用安全问题突出

　　如今智能手机应用呈井喷式发展，各种各样的智能应用让用户很难抉择，特别是移动支付的迅速发展，让智能应用的安全问题逐渐受到越来越多的用户关注。

　　移动智能应用开发还是一个较新的领域，在管理层面上，移动智能相关法律法规滞后，行业对移动智能安全相关的风险认识不足，过分重视超前概念和业务而忽视基础安全设施；在技术层面，移动应用开发组织没有将信息安全列入软件全生命周期，复杂业务逻辑处理不当，对集成功能模块把关不严格，甚至个别开发者为某些商业利益故意收集信息等。上述各种原因，导致移动应用中会存在bug、漏洞或者留有后门。再加上像安卓市场这样的应用平台门槛较低，没有权威发布机构，并且审核不够严格，导致许多具有恶意行为的应用出现在用户的手机上，如果只是危害手机系统，那问题还不那么严重。但要是威胁到移动支付、邮箱等，就会给用户造成很大的损失。

　　此外，智能手机病毒也是不容忽视的威胁，病毒感染到手机后，会以不被察觉的形式来使用手机的一切功能。在手机屏幕上不会有任何显示，就把要做的事情做了。病毒会代替你使用手机的所有服务。比如给你的朋友发个短信，然后从已发短信中再把这条信息删了。你能做到的，病毒都能做到。

　　采取有效措施加快APP应用产品供应链安全审查

　　一是形成APP应用程序准入制度。通过专业的国家APP应用程序检测机构，对即将发布的应用程序进行恶意代码、隐蔽功能等安全审查。审查通过的应用程序进行数字签名识别，允许在国内各大APP应用平台发布。审查未通过的不允许在国内各大APP应用平台发布。对各大应用平台的APP运用技术手段进行抽查，发现发布了未审查通过签名的APP，将勒令下架未审查APP，并处以一定的处罚。

　　二是加强对智能手机应用发布平台的网络安全审查。要求应用发布平台对其发布的应用安全负责，并要求应用平台商有效管理平台上的应用程序。同时通过立法、第三方测评、设立权威应用发布平台等行政与市场化结合等手段，促使应用发布平台运用技术、管理、服务等手段，管理好自己平台上的应用程序，承诺自身平台应用安全性，并对此负责。

　　上述做法也是参考了苹果公司对APP Store中的应用程序的严格审查机制。从目前现状看来，苹果APP Store中的恶意代码应用，远低于Android市场中的恶意代码应用，我们应加快做好我国市场智能终端的安全管控，为百姓提供绿色移动互联网环境。