中國泰爾實驗室：2016年移動智能終端預置應用安全行業報告（15頁）.pdf

1、中國泰爾實驗室 2016 年移動智能終端預置應用安全行業報告年移動智能終端預置應用安全行業報告 中 國 泰 爾 實 驗 室中 國 泰 爾 實 驗 室 2017 年 7 月 移動智能終端預置應用安全行業報告中國泰爾實驗室 序言序言 2016 年是網絡安全里程碑的一年，保護用戶信息安全不再是一個口號，在網絡安全政 策推動和網絡空間法制化領域已經邁出了實質性的一步。通過宏觀層面的頂層設計規劃， 國家、地方和行業領域出臺了多個政策法規，保護網絡空間安全。關于加強國家網絡安 全標準化工作的若干意見發布，指導加快網絡安全審查的建設工作，保護基礎設施； 中華人民共和國網絡安全法出臺，將現行有效的網絡安全監管

2、體制法制化，明確了網 信部門與其他相關網絡監管部門的職責分工；年底工信部印發移動智能終端應用軟件預 置和分發管理暫行規定，指導移動互聯網行業各方規范預置行為，依法維護用戶的知情 權和選擇權，維護移動互聯網市場秩序。 本報告重點介紹了 2016 年預置應用檢測情況，結合全年發生的幾個熱點事件，通過相 關研究分析預置應用產業鏈的安全態勢和研究必要性。希望通過本報告，幫助產業鏈各方 更好管理預置應用，認識應用預裝安全的重要性和必要性，共同為移動終端用戶提供安全 可信的使用環境。 移動智能終端預置應用安全行業報告中國泰爾實驗室 移動智能終端預置應用軟件是指由生產企業自行或與互聯網信 息服務提供者合作在

3、移動智能終端出廠前安裝的應用軟件。 第一部分第一部分 應用軟件預置概況應用軟件預置概況 1.1 終端數量呈下降趨勢 單個終端平均預置應用數量保持平穩 2016 年單個型號首次檢測情況如圖 1-1。全年入網 1486 款移動智能終端，預置應用 總數高達 26.8 萬，單個終端平均預置應用個數為 181 個。通過統計數據可知，全年機型 個數隨時間呈下降趨勢，終端預置應用的平均水平保持平穩狀態，每月預置個數基本上分 布在 160 至 200 之間，總體呈現小幅度上漲，分別在 3 月和 8 月出現平均預置應用個數峰 值，最少為 167 個，最多為 196 個。 圖 1-1 2016 年應用預置概況 移

4、動智能終端預置應用安全行業報告中國泰爾實驗室 通過對終端預置應用的分析不難發現，終端在逐步建立以自身賬戶體系為基礎的生態 圈，一個終端產品的價值不僅限于購置的軟硬件產品，品牌服務的提升也是終端價值的 一部分。預置廠家通過自研的市場類或者支付類應用，成體系的定制化服務提升用戶體 驗，通過互聯網增值服務獲得利潤。 1.2 終端預置過多應用 知名應用主導第三方應用預置市場 2016 年全年預置的桌面應用約 10 萬個，單個終端桌面應用最少預置 14 個，最多預 置 264 個。如果將無圖標的系統應用考慮在內，預裝應用數量最多高達 500 余個，其中除 去系統運行所必須的軟件外，廠商預置了大量非基本功

5、能外的應用軟件，很多應用用戶不 常使用且無法卸載，占用系統容量，影響用戶體驗。 全年終端預置第三方應用軟件前十位是微博、手機百度、訊飛輸入法、百度地圖、高 德地圖、美團、美妝相機、今日頭條、微信和大眾點評，預置數量統計包括終端型號首次 入網和備案數量，如圖 1-2。預裝量較大的第三方應用多為知名廠商主流應用，應用文件 大，內存占用高，應用功能與系統基本功能重疊較嚴重，且根據用戶喜好可選用的替代應 用較多。 移動智能終端預置應用安全行業報告中國泰爾實驗室 圖 1-2 第三方應用預裝前十 第二部分第二部分 預置應用軟件監測情況分析預置應用軟件監測情況分析 2.1 收集用戶數據、流量耗費為預置應用不

6、合格主因 隨著終端廠家對預置應用安全要求理解的深入，首次送測不合格比例逐年減少，如圖 2-1。終端廠家和應用廠家已經逐步意識信息安全的重要性，對應用敏感行為進行明示，避 免發生后臺敏感行為的調用，保證用戶的知情權和選擇權。 移動智能終端預置應用安全行業報告中國泰爾實驗室 圖 2-1 2016 年應用首次送測檢測情況 通過對全年送測不符合要求的終端和備案應用數據分析發現，如圖 2-2 和 2-3，預置 應用無法測試的比例較高，主要體現在應用無響應、樣機異常等。預置應用不合格原因以 流量耗費和收集用戶數據為主。近幾年，為適應市場競爭，終端價格逐漸貧民化，硬件利 潤下降的同時，用戶的個人信息成為新的

7、贏利點。隨著眾多涉及用戶隱私泄漏的安全事件 暴露，用戶也意識到自身個人信息的寶貴，對后臺收集信息行為的耐受力下降。同時，無 論是移動數據或者付費熱點的流量耗費行為都有可能直接導致費用損失，威脅用戶的信息 安全。 2.2 近三成預置應用申請敏感權限 設備屬性、外部存儲、聯系人數據申請積極性較高 以 Google 官方定義的涉及用戶隱私的應用權限為基準，結合移動智能終端安全能 力技術要求涉及的敏感行為，通過分析全年預置應用敏感權限申請情況，發現近三成預 置應用在編寫代碼時申請了敏感權限，并在年底申請敏感權限的預置數量出現了激增的現 象，如圖 2-4。開發者在編寫應用時，為方便開源庫的利用或者為了接

8、口調用方便，完全 移動智能終端預置應用安全行業報告中國泰爾實驗室 不考慮應用的功能需求，大批量申請應用敏感權限，多數敏感權限在應用實際使用中并未 涉及。預置應用權限濫用埋藏了更為嚴重的安全隱患，多數預置應用擁有系統級高權限， 若開發者沒有重視應用自身的代碼保護，系統級權限很有可能被攻擊者利用，引起信息泄 露甚至系統破解等問題。 圖 2-4 預置應用敏感權限占比 將獲取用戶敏感信息按類別進行權限組的劃分，將同類敏感信息劃為一個權限組，通 過圖 2-5 看出全年各類權限組占比分布情況，其中設備特性，外部存儲，聯系人，地理位 置和短信占比較高，設備信息和外部存儲多用于應用正常運行所需，但是聯系人，地

9、理位 置，短信等與用戶個人信息關系密切的敏感行為，并不是多數預置應用基本功能所必須， 通過數據可以看出預置應用對這幾類數據權限申請的積極性較高，敏感權限的過多申請， 也給用戶的信息安全埋下了隱患。 移動智能終端預置應用安全行業報告中國泰爾實驗室 圖 2-5 預置應用權限組分布 2.3 應用廣告插件預置比例呈上升趨勢 移動應用軟件通過內置廣告插件向用戶推送廣告，是終端廠家和應用廠家重要的盈利 來源。近些年，移動智能終端市場競爭逐漸激烈化，部分終端廠商為保證價格優勢，多數 選擇壓低硬件利潤轉而通過廣告推送盈利。2017 年，終端應用預置通用廣告插件占比約為 0.34%，如圖 2-6。由于預置應用以

10、系統應用為主，雖然預置廣告插件比例較低但整體呈現 上漲趨勢。 移動智能終端預置應用安全行業報告中國泰爾實驗室 圖 2-6 預置應用廣告插件比例 預置應用內置的廣告插件大多來自國內外知名廣告廠商。廣告推送本身屬于正常的商 業行為，但是有些廣告廠商為了自身利益，會誘導用戶點擊，進行流氓推送或者過于頻繁 推送，嚴重嚴重影響用戶體驗，也有可能造成用戶的費用損失。甚至有一些廣告插件會獲 取大量的用戶隱私數據，延伸出一條利用用戶數據牟利的產業鏈，擾亂產業正常發展。 排名排名 廣告件廣告件 來源來源 1 AdWare/Android.Admob.a Google 官方廣告插件官方廣告插件 2 AdWare/

11、Android.GenericAd.a 小眾、不知名廣告插件小眾、不知名廣告插件 3 AdWare/Android.youkuad.a 優酷官方廣告插件優酷官方廣告插件 4 AdWare/Android.Flurry.a Flurry 官方廣告插件官方廣告插件 5 AdWare/Android.gdt.a 騰訊廣點通廣告插件騰訊廣點通廣告插件 2.4 預置應用加固程度較低 移動智能終端預置應用安全行業報告中國泰爾實驗室 圖 2-7 預置應用加殼占比 應用軟件加殼是利用特定的算法對應用資源壓縮處理的手段，主要是為了防止外部程 序或者軟件對應用的反匯編和動態分析，是一種應用程序的保護手段。預置應用

12、與系統功 能關系密切，涉及大量的用戶信息收集和存儲，部分惡意開發者利用應用安全漏洞，針對 預置應用進行破解攻擊，給用戶的隱私安全帶來了潛在威脅。2016 年，加殼應用數量占所 有預置應用的 0.37%，如圖 2-7。應用的加殼保護一定程度上加大了惡意開發者的破解難 度，有助于終端用戶的隱私防護。 第三部分第三部分 預置應用熱點事件預置應用熱點事件 3.1 終端設備后門事件 2016 年 11 月，某國外安全公司從海外銷售的低端 Android 手機固件中發現了一個預 裝的后門軟件，該后門會將短信的全文、聯系人名單、通話記錄、位置信息，以及其他數 移動智能終端預置應用安全行業報告中國泰爾實驗室

13、據上傳至國內的服務器，如圖 3-1，經調查發現此固件的供應方為我國某 FOTA 技術服務 提供商。該安全事件在國內外引起巨大反響，包括紐約時報在內的西方主流媒體紛紛報 導，報道語言尖銳，網友評論激烈，矛頭直指中國廠商。實驗室第一時間跟蹤事件，未發 現進網預置應用中存在該事件相關樣本，對后門應用代碼分析后發現，該后門通過在線更 新將相關關鍵應用投放到終端，過程比較隱蔽。 圖 3-1 后門應用代碼片段 本次安全事件，不僅侵害了終端用戶的信息安全，損害終端廠商聲譽，甚至嚴重影響 了國家信譽，企業名譽與市場的雙損失和中國制造品牌形象的受挫都是此次事件無法挽回 的損失。雖然事后相關廠商聲明，獲取的用戶數

14、據用來幫助用戶識別垃圾短信和電話等相 關服務，但是未經用戶允許的信息收集行為已經侵犯了用戶的個人隱私信息。 預置應用由于特定的搭載形式容易成為用戶的安全盲區，國內手機廠商眾多，部分廠 商缺乏對終端集成產品的防范意識和監測措施。通過此次安全事件可以看到，移動智能終 端證后的安全監控變得越來越重要，在整個產業生態鏈中任何一個階段植入的惡意預置應 用都會給用戶帶來極大的安全威脅，全鏈條的安全需求不容忽視。 3.2 預置應用刷機現象猖獗 在漫長的移動智能終端銷售鏈中，用戶最終拿到的終端有可能被安裝了未經許可的第 三方軟件或軟件服務，而且無法卸載。這種刷機行為已經成為銷售產業鏈各環節盈利的一 種固定方式

15、，終端廠商的操作系統被非法改造，原系統的軟件和服務被刪除，占用終端資 源，添加可能危害用戶信息安全的應用，如圖 3-2。刷機后的終端替換了原始基本功能應 移動智能終端預置應用安全行業報告中國泰爾實驗室 用，并添加了數十款其他應用，給用戶體驗和手機廠商造成了巨大的損失，刷機后的終端 有可能引入系統漏洞、后門等安全問題。 圖 3-2 終端刷機后替換原有應用 刷機行為通常發生在分銷到線下店面的過程中，終端刷機后流入線下連鎖店和個體商 戶，或者線上電商和線下合作商城。通過調研和數據分析得知，我國整體手機行業被刷機 的數量預估占總出貨量的 10%左右。刷機行為已經逐步成為一個產業行為，部分刷機公司 已經

16、具備一定規模和影響力，衍生出一個完備的擁有上下游環節的巨大黑色產業鏈，涉及 刷機公司、應用廠家、供貨和渠道、刷機工具和模具公司、專門破解系統的安全技術公 司。刷機過程中被預裝的各種軟件和服務沒有經過任何檢測，存在大量盜版和惡意行為， 損害了終端和應用廠家利益，嚴重影響了知名廠家的用戶口碑。 3.3 工信部規范應用預置與分發要求 隨著我國移動智能終端產業迅速發展，應用軟件為人們的工作生活帶來很大便利，但 是用戶購買的手機里面預置應用軟件無法卸載，占用內存、耗費流量等問題頻頻出現。 2014 年 10 月，廣東省消委會攜手全省 23 家市、區消委會，聯名提出希望工信部推進落 移動智能終端預置應用安

17、全行業報告中國泰爾實驗室 實手機預置應用軟件自由卸載。依據深入研究和調研成果，2016 年 12 月 16 日，工業和 信息化部印發移動智能終端應用軟件預置和分發管理暫行規定。該規定共 14 條，自 2017 年 7 月 1 日起實施。 規定要求生產企業和互聯網信息服務提供者均明示所提供移動智能終端應用軟件 相關信息，確保除基本功能軟件外的移動智能終端應用軟件可卸載，明確了從事應用商店 等移動應用分發平臺服務的互聯網信息服務提供者，以及在移動智能終端中預置了移動應 用分發平臺的生產企業對所提供的應用軟件負有的管理責任，還規定了通信主管部門的相 應管理職責。規定的發布可以極大程度保護廣大用戶合法

18、權益，規范移動互聯網市場秩 序，維護網絡安全，促進信息通信行業健康發展。通過規定的實施，用戶可以知道自 己購買的移動終端安全了什么功能的應用，也可以對卸載不需要的預置應用，極大程度上 維護了用戶的知情權和選擇權。 第四部分第四部分 預置應用產業鏈安全態勢分析預置應用產業鏈安全態勢分析 通過上述安全事件發現，事前監管已經不能充分保證用戶的信息安全，大多數安全問 題發生在終端獲證之后。需從事前審批轉變為加強事中事后監管，目前多采用證候監督檢 查、專項行動檢查和投訴舉報等機制進行監管，此時用戶的權益有可能已經收到侵害，需 要通過終端安全態勢感知增加持續性、主動的監管方式，逐步解決移動終端設備識別和定

19、 位問題、基礎設施網絡拓撲下的溯源方法、安全事件的回溯、惡意行為觸發識別和分析， 收集移動智能終端易受病毒感染及侵害節點，并實施移動智能終端證后監管措施。 4.1 復雜的預置應用產業鏈 移動智能終端預置應用安全行業報告中國泰爾實驗室 預置應用是指由生產企業自行或與互聯網信息服務提供者合作在移動智能終端出廠前 安裝的應用軟件。正規的預裝渠道包括芯片廠商、方案商、品牌廠商和運營商定制預裝， 所有預裝環節由品牌廠商嚴格把控。終端出廠后經銷商、代理商、零售商和運營商營業廳 等銷售渠道，經由非正常預裝環節，有可能通過刷機方式預置了未經許可的應用。國內主 要的終端芯片供應商如展訊、MTK、高通等，相關軟件

20、直接預裝在手機芯片中，用戶無法 卸載。方案商主要有龍旗、華勤等，雖然沒有預裝權限，但仍保留了推送的權限。品牌廠 商包括華為、中興、VIVO 等，終端廠商將應用內置于系統中，保障系統基礎功能的同時 完善自身產品的生態鏈。運營商包括中國移動、電信、聯通等，運營商既有合理的定制預 裝方式，也有非正規的營業廳刷機方式。經銷商、代理商和零售商等銷售階段屬于非正規 預裝渠道，通過刷機等手段預裝應用以獲取經濟利益。刷機后的終端缺失了品牌亮點應 用，有可能預置了偷跑流量、竊取隱私的惡意應用。刷機廠商和正規預置廠家的博弈一觸 即發。 4.2 預置應用對用戶的影響 l 尷尬的用戶處境 預置應用裝機量大，安全問題影

21、響面廣，因其特殊的搭載形式，用戶無需下載安裝， 但其中不乏一些用戶并不常用的功能，又無法卸載，占用終端容量。用戶不具備預置應用 的處置能力，處境十分尷尬。 l 潛在的隱私泄漏風險 預置應用由于與系統功能密切相關，普遍存在申請敏感權限的行為，可以獲取用戶大 量隱私信息，如果應用自身安全防護不足，存儲不當，可能存在嚴重的信息泄露風險，有 可能被黑客攻擊和利用，加大終端攻擊面。 移動智能終端預置應用安全行業報告中國泰爾實驗室 l 影響終端性能 多數預置應用為系統支撐服務，部分進行了開機自啟動和后臺駐留的配置，若終端廠 家對應用內存空間劃分不當，極有可能造成手機卡頓，極大影響了用戶體驗。 l 漏洞防范 目前移動智能終端已經成為了用戶使用最頻繁的電子設備，終端中包含用戶大量數 據，終端因攻擊無法使用或者信息的泄漏都會嚴重影響人們的生活。用戶購置終端中 的預置應用為保證穩定性，多為較早前版本，其中很有可能存在未修復的漏洞，容易 被攻擊者利用，威脅用戶信息安全。