中国信通院安全研究所 于成丽
在“互联网 ”时代,移动应用安全面临诸多新挑战。对于整个产业链而言,应对新的挑战是一件并不轻松的事情,唯有认清现实,迎难而上。
开发环节成为“重灾区”
自2010年8月Android平台首度出现公认病毒起,移动应用安全问题不断涌现。时至今日,经过各方长期博弈,移动应用威胁逐步呈现出全新态势,其中开发环节安全问题尤为凸显。
——治理恶意应用初见成效,正面战场风险部分控制。
长期以来,国内移动安全关注点较多聚焦于恶意应用,随着相关管理部门综合治理及国内安全检测技术、标准日趋成熟,针对恶意应用的安全对抗体系逐步建立,安全风险得到部分控制。
——开发环节安全问题凸显,安全漏洞引发“木桶”效应。
移动应用开发环节引入的漏洞等问题被广泛利用,导致各类安全威胁日益增多且未能得到有效控制,成为移动应用安全最为脆弱的地方。2016年7月,通付盾移动安全实验室发布的《2016第二季度移动应用安全监告》监测到334万多个高危漏洞;阿里聚安全发布的《2015互联网安全年报》显示,97%热门APP存漏洞,安卓系统漏洞同比去年暴增10倍,iOS系统安全漏洞同比增长1.28倍。在移动安全大事记中,苹果XcodeGhost及威胁数亿用户的百度系SDK漏洞事件给业界敲响了安全警钟,移动开发环节引入的安全问题不断升级演变。
——隐私大数据攻击模式显现,漏洞潜在攻击面扩大。
移动应用安全威胁呈愈演愈烈之势。一是威胁攻击手段持续进化,更具针对性的隐私大数据攻击模式显现。移动应用黑色产业链迅猛发展,将积累的数据与移动平台隐私信息进行大数据关联分析,深入建立受害者档案画像,对目标进行针对性攻击。二是移动应用尚处安全防护空窗期,漏洞潜在威胁攻击面持续扩大。一方面,移动智能终端缺少传统信息系统安全防护机制和安全产品,另一方面用户安全意识也普遍比较薄弱,恶意攻击者将利用此防护空窗期发起更多攻击。
——移动新业态不断出现,安全防护基础亟须夯实。
在“互联网 ”形势下,在开发环节减少应用安全缺陷,提升其防攻击、防篡改、防病毒等安全防护能力(简称“移动应用安全防护能力”)的需求日益迫切,面临的挑战也日益严峻。一方面,移动互联网与大数据、云计算深度融合,安全问题涵盖信道、系统、应用等各个方面,移动应用漏洞安全风险的“木桶”效应将被进一步放大。另一方面,在大数据生态环境下,移动应用更多承载实体经济、社会管理功能,涉及个人隐私、商业机密和国家安全等重要数据,由漏洞衍生的大规模数据泄露、远程攻击的后果将不可估量。
整个行业皆面临挑战
对于移动应用行业而言,无论是行业监管部门,还是开发者等环节,都面临着因为安全威胁而带来的巨大挑战。
首先,行业监管目前主要聚焦在移动恶意程序的治理上,开发环节的监管不足。
当前,我国移动应用行业监管主要聚焦在恶意程序治理上,移动应用开发这一生态的基础环节安全仍缺乏整体行业引导和管控。监管机构需要坚持“把握源头”和“全程监控”原则,充分认识由开发环节引入的安全风险和当前面临的挑战,对移动应用进行全生命周期安全管理,提升其安全防护能力。
其次,由于相关标准体系尚未形成,因此安全生态呈现出“孤岛”局面。
移动应用安全防护能力匮乏问题虽已引发行业关注,但安全生态仍呈“孤岛”局面。一是统一有效的安全开发、检测行业标准尚未建立,开发者仍缺乏基本安全要求和安全技术指导;二是开发者、应用分发平台、安全企业联动配合不足,覆盖移动应用编码、发布、流通全生命周期服务体系仍未建立,产业协会、联盟未形成强有力的牵引力量。
最后,开发者安全意识与技术薄弱,企业安全投入不足。
为抢占移动互联网入口,企业各方不遗余力地推广与更新自身应用。然而,由于开发者安全意识薄弱,对于安全威胁的认识不足,导致他们在面对产品更新压力时放宽了安全要求;与此同时,多数开发者安全技术水平不高,无法对移动应用开发环节出现的安全风险进行有效控制;此外,企业也普遍无意加大安全投入,重用户体验而轻安全保障,导致移动应用安全防护能力差强人意。
从标准入手保安全
在移动应用安全防护能力凸显不足形势下,如何在设计、编码、发布等环节控制风险并提升安全防护能力备受关注。
从国外来看,各国主要以法律规范和行业标准引导为主,旨在减少移动应用开发过程产生的安全缺陷。2012年10月,加拿大隐私专员办公室与阿拉伯塔省和不列颠哥伦比亚省隐私专员办公室联合发布《移动APP开发隐私指南》,该指南指出开发者在APP设计和开发过程中,应加强个人隐私数据的安全保障;2014年4月,日本智能终端安全社JSSEC发布《Android应用软件安全设计/安全代码指导书》,指导书对Android应用安全开发组件和用户权限安全使用作出规定;2014年8月,美国国家标准与技术研究院NIST从管理角度出台NIST SP 800 163,规范企业评估移动应用自身安全性流程方法,供企业参考。
从国内来看,阿里聚安全、江苏通付盾等安全企业业务范围逐步覆盖移动应用安全开发,中国通信标准化协会(CCSA)等行业标准组织亦开始关注相关安全标准。2015年11月,阿里巴巴等在CCSA作为联合牵头人促成了《移动应用开发安全能力技术要求》标准的立项;12月,中国移动终端公司发布新《终端应用开发指南》,通付盾在移动智能终端峰会上分享《移动APP安全开发手册》;2016年1月28日,中关村网络安全与信息化产业联盟EMCC工作组,编制了《EMCG应用软件审核指南》和《EMCG应用软件开发安全指南》;2016年7月,中国信息通信研究院等在CCSA作为联合牵头人促成了《移动应用开发安全能力评估方法》的标准立项。
全产业链都应积极应对
移动应用安全形势不容乐观,整个产业链都必须行动起来。
首先,行业主管部门应强化移动应用安全防护能力审查机制。
我国相关主管部门应积极引导并提升移动应用安全防护能力水平,增加企业移动应用安全防护能力审查力度。一是将其作为基础电信企业网络与信息安全责任制考核要点,积极推动工作落实;二是深入贯彻《国务院关于积极推进“互联网+”行动的指导意见》,重点开展“互联网+”普惠金融、“互联网+”益民服务、“互联网+”电子商务、“互联网+”高效物流等典型互联网企业移动应用安全防护审查试点示范工作,健全行业网络安全防护审查机制。
其次,针对监管增强技术支撑能力,强化平台主体责任。
具体来看,一是完善相关标准体系,切实推动“移动应用开发安全能力技术要求/评估”等标准贯彻实施,为安全开发、测评提供指导;二是增强技术支撑能力,支持国内第三方检测、评估、认证相关技术手段建设,为行业监管提供有力抓手;三是引入平台治理模式,移动应用分发平台在应用上架前的安全审核中,应增加移动应用安全防护能力测试评估。
最后,提升开发者安全意识和能力,激发安全技术创新热情。例如,可通过展开“移动应用安全开发”宣传周活动,推进网络安全文化建设,增强开发者安全意识;开展APP安全开发培训、竞赛,提高开发者安全开发能力;组织产业峰会、学术沙龙,加强技术交流,鼓励安全技术创新。