中国泰尔实验室移动智能终端预置应用安全行业报告.docx

中国泰尔实验室 《2016 年移动智能终端预置应用安全行业报告》 序言 2016 年是网络安全里程碑的一年，保护用户信息安全不再是一个口号，在网络安全政 策推动和网络空间法制化领域已经迈出了实质性的一步。通过宏观层面的顶层设计规划， 国家、地方和行业领域出台了多个政策法规，保护网络空间安全。《关于加强国家网络安 全标准化工作的若干意见》发布，指导加快网络安全审查的建设工作，保护基础设施； 《中华人民共和国网络安全法》出台，将现行有效的网络安全监管体制法制化，明确了网 信部门与其他相关网络监管部门的职责分工；年底工信部印发《移动智能终端应用软件预 置和分发管理暂行规定》，指导移动互联网行业各方规范预置行为，依法维护用户的知情 权和选择权，维护移动互联网市场秩序。 本报告重点介绍了 2016 年预置应用检测情况，结合全年发生的几个热点事件，通过相 关研究分析预置应用产业链的安全态势和研究必要性。希望通过本报告，帮助产业链各方 更好管理预置应用，认识应用预装安全的重要性和必要性，共同为移动终端用户提供安全 可信的使用环境。 移动智能终端预置应用软件是指由生产企业自行或与互联网信 息服务提供者合作在移动智能终端出厂前安装的应用软件。 第一部分 应用软件预置概况 1.1 终端数量呈下降趋势 单个终端平均预置应用数量保持平稳 2016 年单个型号首次检测情况如图 1-1。全年入网 1486 款移动智能终端，预置应用 总数高达 26.8 万，单个终端平均预置应用个数为 181 个。通过统计数据可知，全年机型 个数随时间呈下降趋势，终端预置应用的平均水平保持平稳状态，每月预置个数基本上分 布在 160 至 200 之间，总体呈现小幅度上涨，分别在 3 月和 8 月出现平均预置应用个数峰 值，最少为 167 个，最多为 196 个。 图 1-1 2016 年应用预置概况 通过对终端预置应用的分析不难发现，终端在逐步建立以自身账户体系为基础的生态 圈，一个终端产品的价值不仅限于购置的软／硬件产品，品牌服务的提升也是终端价值的 一部分。预置厂家通过自研的市场类或者支付类应用，成体系的定制化服务提升用户体 验，通过互联网增值服务获得利润。 1.2 终端预置过多应用 知名应用主导第三方应用预置市场 2016 年全年预置的桌面应用约 10 万个，单个终端桌面应用最少预置 14 个，最多预 置 264 个。如果将无图标的系统应用考虑在内，预装应用数量最多高达 500 余个，其中除 去系统运行所必须的软件外，厂商预置了大量非基本功能外的应用软件，很多应用用户不 常使用且无法卸载，占用系统容量，影响用户体验。 全年终端预置第三方应用软件前十位是微博、手机百度、讯飞输入法、百度地图、高 德地图、美团、美妆相机、今日头条、微信和大众点评，预置数量统计包括终端型号首次 入网和备案数量，如图 1-2。预装量较大的第三方应用多为知名厂商主流应用，应用文件 大，内存占用高，应用功能与系统基本功能重叠较严重，且根据用户喜好可选用的替代应 用较多。 图 1-2 第三方应用预装前十 第二部分 预置应用软件监测情况分析 2.1 收集用户数据、流量耗费为预置应用不合格主因 随着终端厂家对预置应用安全要求理解的深入，首次送测不合格比例逐年减少，如图 2-1。终端厂家和应用厂家已经逐步意识信息安全的重要性，对应用敏感行为进行明示，避 免发生后台敏感行为的调用，保证用户的知情权和选择权。 图 2-1 2016 年应用首次送测检测情况 通过对全年送测不符合要求的终端和备案应用数据分析发现，如图 2-2 和 2-3，预置 应用无法测试的比例较高，主要体现在应用无响应、样机异常等。预置应用不合格原因以 流量耗费和收集用户数据为主。近几年，为适应市场竞争，终端价格逐渐贫民化，硬件利 润下降的同时，用户的个人信息成为新的赢利点。随着众多涉及用户隐私泄漏的安全事件 暴露，用户也意识到自身个人信息的宝贵，对后台收集信息行为的耐受力下降。同时，无 论是移动数据或者付费热点的流量耗费行为都有可能直接导致费用损失，威胁用户的信息 安全。 2.2 近三成预置应用申请敏感权限 设备属性、外部存储、联系人数据申请积极性较高 以 Google 官方定义的涉及用户隐私的应用权限为基准，结合《移动智能终端安全能 力技术要求》涉及的敏感行为，通过分析全年预置应用敏感权限申请情况，发现近三成预 置应用在编写代码时申请了敏感权限，并在年底申请敏感权限的预置数量出现了激增的现 象，如图 2-4。开发者在编写应用时，为方便开源库的利用或者为了接口调用方便，完全 不考虑应用的功能需求，大批量申请应用敏感权限，多数敏感权限在应用实际使用中并未 涉及。预置应用权限滥用埋藏了更为严重的安全隐患，多数预置应用拥有系统级高权限，