我国教育行业APP网络安全调查研究
2020-07-24魏昂袁方孙小越李东格
魏昂 袁方 孙小越 李东格
摘 要:随着移动互联网终端科技的不断创新与发展,APP应用近年来爆发式增长。在教育行业,伴随“终身学习”“泛在学习”“碎片式学习”观念的日益提升,人们对于学习的兴趣也不断提高,一大批教育行业APP不断推出。随着教育行业APP数量的激增,一系列市场乱象相继出现。文章通过对教育行业APP网络安全现状进行研究,发现其存在高危漏洞、恶意应用感染、第三方SDK良莠不齐、越界索权等安全威胁。针对这些安全威胁,文章从多方面提出相应的安全建议,以期规范教育行业APP市场健康发展。
关键词:教育行业;APP安全;移动互联网;第三方SDK
中图分类号: G434 文献标识码:A
1 引言
伴随着移动互联网技术的飞速发展,中国“互联网+教育”迎来了新的发展契机,各类教育行业APP层出不穷。基于互联网技术的移动学习成为当下新兴的学习方式,与传统的教育方式相比,移动学习的学习时间更灵活,学习内容更碎片化,时间地点的限制性更低,用户可以充分利用日常生活中的琐碎时间学习,能够满足不同人群多样化的学习需求。
教育行业APP在方便用户线上学习的同时,也出现了很多安全隐患。例如,截屏攻击风险、Java代码泄漏、各种恶意应用、越界索权等问题,严重地威胁着用户的个人隐私和财产安全。本文通过对教育行业APP安全现状进行的调查研究,发现其主要存在四大安全风险,基于这些风险文章提出了对应的安全建议。
2 教育行业APP概述
2.1 概述
教育行业APP是在智能移动终端兴起过程中迅速发展形成的一种新型移动学习资源,是因学习需要而开发的智能移动终端应用程序。近年来,移动学习的兴起也带动了教育形式的变化,PC端平移至移动端,用户通过教育行业APP作为载体进行自主学习,无形中也促进了教育行业APP的发展。教育行业APP可以将不同学科的知识和资源相整合,通过文本、图片、音频、视频、动画等多种方式呈现,为用户创造良好的学习平台与交流机会。教育行业APP可以忽视时间与空间的限制,将最新的教学资源通过手机推送到用户面前,还可以将不同的用户互联起来,构建相互交流沟通的“学习圈”,明显地满足用户的学习需求。随着各类教育行业APP的相继出现,也产生了诸如移动教学、移动科研、移动管理和移动图书馆等创新型应用服务。
2.2 背景
在我国,教育行业APP的发展一直备受国家、各部委的大力支持。《国家教育事业发展第十二个五年规划》《教育信息化十年发展规划(2011-2020)》等规划的出台,为教育行业发展设立了科学的建设目标,同时也为教育行业信息化投资经费提供了稳定可持续性的保障。
随着互联网技术的发展,教育行业充分发挥网络的各种教育功能和丰富的网络教育资源优势,向受教育者和学习者提供一种网络教和学的环境,在顶层政策上得到了更多关注。从2016年至今,国家不断加大对教育行业的规范整顿力度,相关政策不断涌现,如表1所示。
3 教育行业APP安全现状
目前,我国教育行业APP总数量已突破31万,在方便用户线上学习的同时,也出现了很多安全隐患:一是由于移动APP网络安全相关的标准规范不完善,法律法规不健全,给不法分子可乘之机,部分APP侵犯用户隐私权限,例如私自打开摄像头、使用话筒录音、读取位置信息、读取短信记录、访问联系人、读取设备信息等;二是APP普通面临着治理监管难题,例如分发渠道广导致的审计难、数量版本多导致的區分难、运营单位乱导致的溯源难、事件传播快导致的处理难等;三是教育行业APP恶意行为违规、个人隐私数据使用违规、信息内容违规、不安全上线违规等技术难题普遍存在于应用软件开发阶段、测试阶段、上线阶段和运行阶段的安全风险。
4 教育行业APP安全风险分析
4.1 高危漏洞风险问题突出
APP安全漏洞是指APP开发者在逻辑设计上的缺陷或在编写时产生的错误,这些漏洞能轻易的被他人植入恶意代码或手机病毒,造成损失。在调研中,发现有74%的教育行业APP存在高危漏洞,漏洞主要集中在Janus漏洞、截屏攻击风险、Java代码泄漏、WebView远程代码执行漏洞、获取Root、日志数据泄漏风险、URL硬编码风险、H5源代码泄漏等方面。安全漏洞等级分布如图1所示,98%的移动应用存在安全漏洞。
4.2 恶意应用感染风险相对较强
恶意应用是对破坏系统正常运行的软件的统称。恶意应用介于病毒软件和正规软件之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来了实质危害。约有12%的教育行业APP含有恶意程序,恶意行为主要表现在隐私窃取、资费消耗、远程控制、恶意传播和静默下载等五种方式。专家指出,传统的病毒库保护方式已经不足以应对恶意应用的攻击。恶意应用一直在变化,即使是被监测到,它们也会根据情形进行自动调整和变化,依靠单纯的技术手段难以防范。恶意软件威胁网络和系统漏洞的方式也在改变,例如通过邮件附件传播转向使用社交网络引诱用户下载感染的文件和应用程序,或是直接诱导用户点击恶意网站下载恶意软件到用户的系统中。恶意应用渠道分布如图2所示,3%的恶意应用来源于应用商店推广渠道,在此种渠道中恶意应用多数来源于第三方的应用市场,来源于大的手机厂商或者手机运营商的应用市场的恶意应用几乎没有。
4.3 第三方SDK质量差别很大
第三方SDK是指由第三方服务商提供的实现软件产品某项功能的工具包。通俗地讲,即是一些功能被第三方服务商实现后打包并提供接口,使用者只需要按照接口文档说明调用对应接口即可直接使用而不需要关注功能如何实现。超过三分之一的教育行业APP嵌入了第三方SDK,一些具有一定经验的高级开发人员会通过对SDK进行逆向操作来扫描代码,对代码进行扫描,可以知道SDK进行了哪些操作、采集了哪些隐私数据。但是随着APP加固技术的不断更新,逆向的难度越来越高,所以对大多数开发者来说很难去判断这些第三方SDK做了哪些违规操作。SDK数量在教育行业APP中统计情况如图3所示,有24.57%的应用嵌入了第三方SDK;在嵌入SDK的APP中,多则嵌入9-12个SDK,少则嵌入2-5个SDK。
4.4 越界索权问题频发
越界索权是指APP向用户申请超出功能实际需要的权限的行为。多数APP存在申请权限时超出实际需要的情况,并且存在隐私政策中所提及所需权限与实际申请权限不符的情况。APP申请敏感数据情况表如表2所示,申请收集的个人敏感信息中申请收集比例比较高的高敏感信息权限4种,中敏感信息权限2种,低敏感信息权限3种。
5 教育行业APP安全建议
在线上教育飞速发展的时代背景下,教育行业APP网络安全需要社会各界共同努力。
一是国家立法部门应建立更完善的网络安全保护法律,为消费者个人信息安全提供最根本的制度保障。
二是各部门应出严厉手段,对违法使用个人信息进行牟利行为进行打击。
三是APP开发管理者应开发更加完善的个人信息保护手段,避免第三方恶意SDK造成个人信息泄露的威胁;同时应建立规范的隐私政策,并积极提示用户阅读;对于权限的调用,个人敏感信息的采集,应明确告知目的并通过显著方式提醒用户,充分保障用户知情权和自愿權。
四是APP使用者下载手机软件时一定要通过正规应用市场下载,切勿直接点击不安全的网页弹窗安装;同时积极阅读隐私政策,明确个人信息收集规则,尽量减少APP权限的授予,避免非必要权限授权;最后,当发现强制、隐瞒开启权限,隐私收集个人信息的软件,及时向APP专项治理组或有关部门举报[6]。
6 结束语
随着教育行业APP数量的不断增长,解决网络安全问题的紧迫性越来越强。本文首先分析了教育行业APP的基本概述和背景,接着研究了教育行业APP当前的安全现状,然后对APP的安全风险进行了分析,最后从法律法规到开发管理者以至到使用者层面,给出了对策建议。
参考文献
[1] 崔晓雪,沈晶,王馨悦,崔箫,修志宇.大学生移动教育APP应用现状调查研究[J].中小学电教,2019(12):32-36.
[2] 王鹤霖,朱祖煌.在线教育APP调查研究[J].计算机时代, 2019(03):16-18.
[3] 高岚岚.教育APP的应用分析及开发策略研究[J].福建电脑,2019,35(02):92-94.
[4] 李玲.教育APP在高校课程教学中的应用研究[D].锦州:渤海大学,2017.
[5] 卢亚丽.基于Android的教育APP的分析与实现[D].重庆:重庆师范大学,2016.
[6] 魏昂,李东格,吕尧.基于APP的个人隐私安全保护研究[J].网络空间安全,2019,10(08):31-35.