张 君

0 引 言

随着移动互联网的普及，智能终端和移动应用得到了迅猛发展。2017年2月22日，全球领先的移动互联网第三方数据挖掘和分析机构艾媒咨询权威首发《2016-2017年中国移动应用商店市场监测报告》。报告显示，2016年第四季度，第三方移动应用商店活跃用户规模增长到4.53亿人。移动互联网用户的“爆炸式”增长、云存储技术的日益成熟以及移动通信网络数据上网的逐步提速，促使移动应用市场规模快速壮大，也使人们的日常生活发生了深刻变革。在利益驱使下，部分移动应用开发商设计恶意移动应用程序，使得恶意吸费、恶意内嵌广告、隐私窃取、诱骗欺诈等一系列移动应用安全问题越来越突出，严重损害了用户利益，制约了移动应用市场的良性发展。面对日益凸显的移动应用软件安全问题，如何提高移动应用和智能终端安全性、保障用户合法权益，成了整个社会共同关注的热点话题。

1 移动应用安全现状

通付盾发布的2016年度《移动应用安全态势报告》[1]，对295个移动应用市场和移动应用分发平台的3 641 831个移动应用进行了评估，分析发现恶意应用软件34 149个、盗版应用23 089个、高危应用37 838个，总数达95 076个，占移动应用总数的2.61%，主要集中于生活服务、游戏娱乐、教育培训等行业。这将对用户隐私、财产安全等造成潜在威胁。

1.1 移动病毒样本急增，向智能化、隐蔽化发展

阿里聚安全移动病毒样本库2016年新增病毒样本达3 284 524个[2]，平均每天新增9 000个样本，相当于每10 s生成一个病毒样本。阿里聚安全2016年的统计报告显示，2016年各月新增移动病毒样本数量如图1所示。

图1 2016年度每月移动病毒样本增长数量统计

病毒入侵手机后，首先检测宿主手机是否装有制毒者指定的第三方应用，如果有，则病毒发作，欺骗用户误认为应用本身的恶意行为，从而蒙蔽用户，伪装自己。这样不仅损害第三方应用的名誉，而且对用户的手机安全带来一定危害。

1.2 移动应用仿冒、钓鱼情况严重

阿里聚安全2016年度从16个行业中分别选取了15个热门应用，发现240个仿冒应用，其中89%的热门应用存在仿冒，总仿冒数量高达12 859个，平均每个应用仿冒数量达54个，总感染设备量达2 374万台。仿冒应用中，55%为恶意行为，45%为盗版软件。其中，恶意行为主要具有流氓行为、恶意扣费、短信劫持或隐私窃取等。具有恶意行为的仿冒应用，对手机用户的账号、资金、隐私安全存在较大的安全风险。

当前的移动应用市场面临着如下安全问题：

（1）软件数量多、企业规模小、发布渠道广、版本更新快；

（2）移动应用质量参差不齐，传统服务模式面临成本压力；

（3）移动应用容易被逆向工程，应用软件容易被篡改；

（4）渠道混乱，部分渠道甚至成为滋生恶意应用的温床。

从国家安全层面而言，通过移动终端多样化地获取敏感信息，再辅以强大后台的同步分析，很容易获取国家的经济、政治等涉密信息，甚至通过移动智能终端散布谣言、传播危险信息，会使国家对信息资源生产、传播和监管的能力面临严峻挑战。

1.3 软件被二次打包，病毒危害特征呈多样化

病毒紧盯热门游戏或知名软件进行二次打包、篡改感染已经成为一种趋势。病毒制造者一般通过植入恶意代码或者广告插件的方式攫取利润。他们对软件或热门游戏进行反编译，分析应用软件源代码或中间代码，将恶意代码、广告代码植入其中，然后重新编译和打包。一方面通过应用商店、网站论坛、二维码链接、云存储等主流的渠道投放出去；另一方面，通过与其他应用软件绑定，在其他软件页进行悬浮窗提醒、弹窗广告、通知栏提醒等多种形式诱骗用户点击安装。在用户安装成功后，流氓行为便触发。制毒者和非法广告渠道商会对非法利益进行分成，这些利益主要来自于用户点击广告、智能终端静默下载软件产生的非法推广利益。

移动应用安全形势越来越恶劣，己经成为威胁移动互联网发展的重要因素之一。对移动智能终端恶意程序进行有效防范和控制，关系我国移动互联网产业的健康发展和广大移动终端用户的切身利益。但是，移动终端的安全环境与传统终端差别极大。移动智能相比传统终端具有的移动性和保存个人隐私数据等新特性，使得传统的软件安全技术并不能有效应用于移动智能终端软件安全中。因此，研究移动应用安全分析和保护技术具有重要意义。当前，全方位、多角度检测并深度挖掘移动应用安全隐患刻不容缓。

2 移动应用安全评估模型

鉴于当前移动应用快速增长的发展趋势和安全风险，本文提出构建集安全检测、源代码分析、渠道监测三位一体的移动应用安全风险评估模型，并搭建基于B/S架构的安全检测平台，实现对移动应用安全从开发、交付到运行全生命周期的安全评估。

2.1 平台部署

移动应用安全评估平台部署，如图2所示。

图2 移动应用安全评估平台网络拓扑结构

平台部署考虑到渠道监测的流量和数据要求，建议将渠道监测模块部署在专有云平台上，既保证数据流量的要求，又可以确保监测数据的安全性。APP安全检测和源代码检测的服务器建议部署在内网中，通过防火墙和入侵检测系统实现网络边界的安全防护，以保证检测报告的安全性。

2.2 移动应用安全评估平台架构

移动应用安全评估平台主要针对移动手机端的Android应用和IOS应用的整个体系结构进行评估，计划主要包括三部分内容，重点针对Android版的移动应用：

（1）开发阶段：源代码分析；

（2）交付阶段：漏洞扫描、安全评估；

（3）运行阶段：渠道监测。

开发阶段的源代码代码安全分析有助于快速定位安全问题，高效低成本地解决安全问题。平台通过与源代码测试工具的整合，提供了移动应用开发过程的安全编码检测、代码净化、安全编译以及对外部代码引入的安全检测，避免存在SQL注入、敏感信息泄露等安全风险。在交付阶段，通过定向检测，结合构建的涉及病毒、漏洞、程序安全、数据安全、环境安全等多方面的评估指标体系[3]，确保上线APP的安全可靠。平台采用统一的引擎分析，快速扫描、快速执行检测，并快速生成检测报告。以安卓版的检测为例，其工作原理如图3所示。

在评估的基础上，对盗版应用进行监测，分析APP投放使用后的安全风险，是监管部门和用户关注的焦点。对国内外200个APP推广渠道信息包括应用商店、下载站、论坛等进行监测，采取爬虫技术精准识别渠道正盗版，并实时监控各渠道相关数据信息，24小时即时更新。一旦发现盗版应用，将第一时间反馈详细数据信息到用户后台，同时提供盗版应用详情分析，分析项目涵盖APK所有路径文件及代码，包括权限、源码、RES目录、METADATA信息、SO库等。通过分析可供用户清晰查看被修改或添加的第三方代码，从而提供全面记录APP盗版分析的数据报告。

图3 安卓版APP检测工作原理

3 移动应用安全评估指标

移动应用交付前，从应用所处开发平台和移动应用本身存在的安全隐患出发，基于移动应用程序包反编译、逆向等技术，构建移动应用安全评估指标。指标将从应用漏洞检测、系统环境安全、程序安全、业务应用安全、数据安全等方面进行综合考虑。

3.1 移动应用漏洞检测

检测APP软件是否存在病毒、木马、吸费代码等恶意特征以及敏感信息泄露、服务攻击、文件目录遍历漏洞等安全问题。相关检测指标和检测内容如表1所示。

3.2 移动应用安全评估

在病毒和漏洞检测的基础上，主要从数据安全性评估、程序安全性评估、业务安全性评估和系统境安全性评估[4]四方面构建安全评估指标。

表1 相关检测指标及检测内容

3.2.1 系统环境安全性评估

系统环境安全性评估主要包括对服务器地址篡改、输入监听、系统文件破坏、恶意动态注入、钓鱼攻击、网络监听、关键数据截获等项目的评估。其中，输入监听重点检测程序运行时是否存在被输入时屏幕截屏/录屏、数据输入拦截/劫持、数据输入篡改等风险；恶意动态注入检测应用是否存在动态注入攻击风险，能否劫持目标进程函数、窃取目标进程数据、篡改目标进程数据等。

3.2.2 程序安全性评估

程序安全性评估从应用的安装与卸载、人机交互、登录检测、程序完整性、发布规范、应用安全性等方面进行评估，包括第三方库安全性、APP篡改、APP反向编译、界面劫持、程序发布、版本规范等评估项。其中，APP反向编译检测检测应用程序中的Java代码是否采取加密保护，是否能够通过baksmali/apktool/dex2jar等反编译工具逆向出代码，造成核心代码逻辑泄露、重要数据加密代码逻辑泄露等。

3.2.3 业务安全性评估

对金融类APP、游戏类APP和政务类APP等不同业务应用，可以结合应用的使用场景，制定不同的评估指标。指标可以包括认证过程安全性、证书监测、Session安全性、功能安全测试、密码安全性、中间人攻击等评估项；检测应用是否对客户端和服务端证书进行有效性校验，资源文件中的证书文件是否为明文存储，是否存在Content Provider数据泄露风险，WebView组件是否存在忽略SSL证书验证错误等。对于金融类APP，还可增加篡改交易检测、任意账号密码重置检测和越权查询用户信息检测等。

3.2.4 数据安全性评估

数据安全性评估主要包括存储安全性检测、H5文件明文存储检测、资源文件篡改分析、账号等敏感数据内存运行安全性、图片冗余数据安全性、日志信息安全性等评估指标。其中，存储安全性检测检测移动APP的敏感数据是否采用外部存储（如sdcard卡），如果使用，是否仅限制本应用访问，而其他任何可以有访问Sdcard权限的应用均不能访问。H5文件明文存储检测检测移动APP中的H5资源文件是否进行混淆加固，避免泄露页面基本布局和一些重要的信息。资源文件篡改分析检测移动APP中的资源文件是否未做资源加密、包签名验证、包完整性验证等措施，重要资源是否存在被篡改的风险，造成程序被直接修改、资源被打包成山寨应用。

4 结 语

本文分析了移动应用安全威胁新趋势，提出了监管移动应用安全需要建立三位一体的安全评估平台，并提出了移动应用安全交付使用时的评估指标体系，形成了移动应用安全能力评估的整体框架和测试方法。

面对移动应用安全防护能力严重匮乏的现状，呼吁国家相关安全管理部门高度重视，围绕开发者、应用商店等产业链核心参与者，制定移动应用安全防护能力管理措施。第一，以安全底线为基本管理原则，规范移动应用具备的底线安全能力，提升开发者安全能力，强化移动应用网络安全基础对抗能力，发挥风险防范作用；第二，引入平台治理模式，强化平台主体责任，应用商店等从事移动应用分发服务的互联网信息服务提供者，应参照移动应用安全平台的构架，强化移动应用安全防护能力检测和监测[5]；第三，建立移动应用安全防护能力事中事后监测审查机制，相关监管可采用“监测分析+定期通报+行政处理”模式，敦促和规范移动应用健康发展。

[1] 江苏通付盾科技有限公司.2016年度‘移动应用安全态势报告[EB/OL].(2017-03-13)[2017-09-22].http://www.sohu.com/a/128701727_466220.Jiangsu Tongfu Shield Technology Co., Ltd.2016 Annual Report on Mobile Application Security[EB/OL].(2017-03-13)[2017-10-22].http://www.sohu.com/a/128701727_466220.

[2] 阿里聚安全.2016互联网安全年报[EB/OL].(2016-02-25)[2017-10-15].http://digi.163.com/16/0225/19/BGM02RCN00162017T.html.Ali Poly Security.2016 Internet Security Annual Report.[EB/OL].(2016-02-25)[2017-10-15].http://digi.163.com/16/0225/19/BGM02RCN00162017T.html.

[3] 陈建民.基于行为的移动应用程序安全检测方法研究[J].计算机工程与设计,2012,33(12):4480-4481.CHEN Jian-min.A Study of Mobile Application Security Detection Based on Behavior[J].Computer Engineering and Design,2012,33(12):4480-4481.

[4] 陈希,刘颖卿,叶蕴芳.构建移动应用安全评测体系[J].电信工程技术与标准化,2015(12):13-15.CHEN Xi,LIU Ying-qing,YE Yun-fang.Construction of Mobile Application Security Evaluation System[J].Telecommunications Engineering Technology and Standardization,2015(12):13-15.

[5] 于成丽.移动应用安全防护能力评估方法研究[J].电信网技术,2017,1(01):49.YU Cheng-li.Study on Evaluation Methods of Security Capability of Mobile Applications[J].Telecom Network Technology,2017,1(01):49.