2016年移动智能终端预置应用安全行业报告》重点介绍了2016年预置应用检测情况,结合全年发生的几个热点事件,通过相关研究分析预置应用产业链的安全态势和研究必要性。希望通过本报告,帮助产业链各方更好管理预置应用,认识应用预装安全的重要性和必要性,共同为移动终端用户提供安全可信的使用环境。
摘要
2016年单个型号首次检测情况如图1-1。全年入网1486款移动智能终端,预置应用总数高达26.8万,单个终端平均预置应用个数为181个。通过统计数据可知,全年机型个数随时间呈下降趋势,终端预置应用的平均水平保持平稳状态,每月预置个数基本上分布在160至200之间,总体呈现小幅度上涨,分别在3月和8月出现平均预置应用个数峰值,最少为167个,最多为196个。
全年终端预置第三方应用软件前十位是微博、手机百度、讯飞输入法、百度地图、高德地图、美团、美妆相机、今日头条、微信和大众点评,预置数量统计包括终端型号首次入网和备案数量,如图1-2。预装量较大的第三方应用多为知名厂商主流应用,应用文件大,内存占用高,应用功能与系统基本功能重叠较严重,且根据用户喜好可选用的替代应用较多。
预置应用热点事件:终端设备后门事件
2016年11月,某国外安全公司从海外销售的低端 Android 手机固件中发现了一个预装的后门软件,该后门会将短信的全文、联系人名单、通话记录、位置信息,以及其他数据上传至国内的服务器,如图3-1,经调查发现此固件的供应方为我国某FOTA技术服务提供商。该安全事件在国内外引起巨大反响,包括纽约时报在内的西方主流媒体纷纷报导,报道语言尖锐,网友评论激烈,矛头直指中国厂商。泰尔实验室第一时间跟踪事件,未发现进网预置应用中存在该事件相关样本,对后门应用代码分析后发现,该后门通过在线更新将相关关键应用投放到终端,过程比较隐蔽。
本次安全事件,不仅侵害了终端用户的信息安全,损害终端厂商声誉,甚至严重影响了国家信誉,企业名誉与市场的双损失和中国制造品牌形象的受挫都是此次事件无法挽回的损失。虽然事后相关厂商声明,获取的用户数据用来帮助用户识别垃圾短信和电话等相关服务,但是未经用户允许的信息收集行为已经侵犯了用户的个人隐私信息。
预置应用由于特定的搭载形式容易成为用户的安全盲区,国内手机厂商众多,部分厂商缺乏对终端集成产品的防范意识和监测措施。通过此次安全事件可以看到,移动智能终端证后的安全监控变得越来越重要,在整个产业生态链中任何一个阶段植入的恶意预置应用都会给用户带来极大的安全威胁,全链条的安全需求不容忽视。