《移動互聯(lián)網(wǎng)應(yīng)用安全白皮書（2017年）》（全文）

【計算機論文】《移動互聯(lián)網(wǎng)應(yīng)用安全白皮書（2017年）》（全文）

移動互聯(lián)網(wǎng)應(yīng)用安全白皮書（2017年）廣東省公安廳網(wǎng)警總隊2018年1月目錄前言3一、2017年APP安全總體狀況5二、移動應(yīng)用安全監(jiān)管情況6（一）安全立法情況6（二）安全監(jiān)測情況10（三）媒體曝光情況30（四）違法犯罪查處情況31（五）實名制落實情況34（六）行業(yè)自律情況35三、移動應(yīng)用安全態(tài)勢分析36（一）安全狀況不容樂觀37（二）網(wǎng)絡(luò)黑產(chǎn)鏈條滋生39（三）安全治理有待推進40四、2018年工作展望41（一）加強安全意識教育41（二）加強安全監(jiān)督管理42（三）加強監(jiān)測平臺能力42（四）加強違法犯罪打擊43（五）強化媒體宣傳曝光43（六）發(fā)揮行業(yè)自律作用43附錄一常見的移動網(wǎng)絡(luò)犯罪手法45附錄二2017年移動安全熱點事件47附錄三移動應(yīng)用安全監(jiān)測方法58致謝66關(guān)于廣東省公安廳公安網(wǎng)警總隊67前言隨著移動互聯(lián)網(wǎng)的高速發(fā)展，移動應(yīng)用服務(wù)（以下簡稱“APP”）已成為互聯(lián)網(wǎng)重要的信息傳播渠道和公眾服務(wù)平臺，據(jù)不完全統(tǒng)計，我國境內(nèi)現(xiàn)有APP2200余萬個，移動應(yīng)用軟件分發(fā)平臺330余家，年移動互聯(lián)網(wǎng)應(yīng)用經(jīng)濟規(guī)模超過2500億元，移動互聯(lián)網(wǎng)應(yīng)用服務(wù)已成為大眾創(chuàng)業(yè)、萬眾創(chuàng)新的重要載體。但也應(yīng)看到，移動互聯(lián)網(wǎng)在帶來便利的同時，APP軟件中木馬病毒、惡意程序和違法有害問題日益突出，對互聯(lián)網(wǎng)健康有序發(fā)展和廣大人民群眾的切身利益帶來了現(xiàn)實威脅和危害，突出表現(xiàn)在：一些不法分子利用APP傳播計算機木馬、病毒，竊取網(wǎng)民個人信息，進行賭博、詐騙和盜竊等違法犯罪活動，利用APP直播進行淫穢色情表演，利用具有信息發(fā)布、社交功能的APP傳播各種謠言和違法信息；一些APP發(fā)布平臺和運營者安全意識淡薄、安全管理能力不足，管理防范措施不完善。為規(guī)范APP市場管理、有效防范和打擊違法APP，保障人民群眾合法權(quán)益，促進移動互聯(lián)網(wǎng)行業(yè)健康有序發(fā)展，2014年以來，在公安部網(wǎng)安局的授權(quán)和指導(dǎo)下，廣東省公安廳網(wǎng)警總隊成立“廣東移動互聯(lián)網(wǎng)安全監(jiān)測中心”（以下簡稱“監(jiān)測中心”），建設(shè)“移動互聯(lián)網(wǎng)應(yīng)用安全管理平臺”（以下簡稱“管理平臺”），承擔全國APP安全監(jiān)測專項任務(wù)，與全國公安機關(guān)網(wǎng)安部門及重點APP發(fā)布平臺建立警企協(xié)同、全國聯(lián)動的違法移動應(yīng)用快速處置工作機制，全面開展國內(nèi)APP安全監(jiān)管工作，累計監(jiān)測APP2200萬余款，清理下架違法違規(guī)應(yīng)用160萬余款，將6萬余款應(yīng)用列入黑名單，通過新聞媒體曝光74款存在傳播違法有害信息、破壞用戶數(shù)據(jù)、竊取用戶信息等突出安全問題的APP，全國各地公安機關(guān)網(wǎng)安部門關(guān)停管理混亂、安全責任不落實、問題突出的移動APP發(fā)布平臺130余家。一、2017年APP安全總體狀況2017年，廣東省公安廳網(wǎng)警總隊加大安全監(jiān)測力度，依托監(jiān)測中心累計將國內(nèi)330余家APP發(fā)布平臺已上線的2200余萬款A(yù)PP納入監(jiān)測范圍，抽檢APP343萬余款（占15.11%），發(fā)現(xiàn)存在惡意程序代碼、高危安全漏洞、內(nèi)容違規(guī)、仿冒盜版等違法違規(guī)行為和風險的移動應(yīng)用APP50723款，其中惡意程序APP2046款（占4.03%）、高危漏洞APP7610款（占15%）、內(nèi)容違規(guī)APP114款（占比0.22%）、盜版仿冒APP40953款（80.74%），如（圖1-1）所示。違法違規(guī)移動互聯(lián)網(wǎng)應(yīng)用APP數(shù)量（圖1-1）全年違法違規(guī)APP地域整體分布情況如（圖1-2）所示，從地域分布來看，廣東、北京、湖南等APP發(fā)布平臺較多的地區(qū)，違法違規(guī)APP檢出量也相對較多。而福建、貴州等地區(qū)，雖然APP發(fā)布平臺數(shù)較少，但違法違規(guī)APP檢出量也占一定比例。全年惡意應(yīng)用地域整體分布（圖1-2）二、移動應(yīng)用安全監(jiān)管情況（一）安全立法情況隨著信息網(wǎng)絡(luò)技術(shù)迅猛發(fā)展和移動智能終端廣泛普及，移動互聯(lián)網(wǎng)以其泛在、連接、智能、普惠等突出優(yōu)勢，有力推動了互聯(lián)網(wǎng)和實體經(jīng)濟深度融合，已經(jīng)成為創(chuàng)新發(fā)展新領(lǐng)域、公共服務(wù)新平臺、信息分享新渠道。移動互聯(lián)網(wǎng)新技術(shù)快速演進、新應(yīng)用層出不窮、新業(yè)態(tài)蓬勃發(fā)展，工具屬性、媒體屬性、社交屬性日益凸顯，生態(tài)系統(tǒng)初步形成、加速拓展，越來越成為人們學(xué)習、工作、生活的新空間。但與此同時，移動互聯(lián)網(wǎng)安全威脅和風險日漸突出，并向經(jīng)濟、政治、文化、社會、生態(tài)等領(lǐng)域傳導(dǎo)滲透。網(wǎng)絡(luò)安全是事關(guān)國家安全的重大戰(zhàn)略問題，我國從2014年2月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，國家最高領(lǐng)導(dǎo)人習近平總書記擔任小組組長，提出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”和“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施”，到2016年11月正式公布我國網(wǎng)絡(luò)安全領(lǐng)域的基本法律《中華人民共和國網(wǎng)絡(luò)安全法》，并于2017年6月1日正式施行，相關(guān)配套的規(guī)范規(guī)定，比如《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《個人信息和重要數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》等規(guī)范性文件，以及《數(shù)據(jù)出境安全評估指南》、《個人信息安全規(guī)范》、《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》等規(guī)定指導(dǎo)性文件正在陸續(xù)制定和發(fā)布，國家網(wǎng)絡(luò)空間治理在法治化軌道上一步步地留下了堅實的足跡。2016年6月28日國家互聯(lián)網(wǎng)信息辦公室發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，該規(guī)定旨在加強對移動互聯(lián)網(wǎng)應(yīng)用程序（APP）信息服務(wù)的規(guī)范管理，促進行業(yè)健康有序發(fā)展，保護公民、法人和其他組織的合法權(quán)益。移動互聯(lián)網(wǎng)應(yīng)用程序提供者和互聯(lián)網(wǎng)APP發(fā)布平臺服務(wù)提供者應(yīng)當切實履行管理責任，積極承擔社會責任，自覺接受公眾監(jiān)督，為網(wǎng)民提供安全、優(yōu)質(zhì)、便捷、實用的信息服務(wù)。2017年年初中辦、國辦印發(fā)《關(guān)于促進移動互聯(lián)網(wǎng)健康有序發(fā)展的意見》，移動互聯(lián)網(wǎng)驅(qū)動引領(lǐng)作用和安全風險防范受到進一步重視。明確提出“建立完善與移動互聯(lián)網(wǎng)演進發(fā)展相適應(yīng)的市場準入制度，健全電信業(yè)務(wù)分級分類管理制度，健全移動互聯(lián)網(wǎng)新業(yè)務(wù)備案管理、綜合評估等制度”和“建立知識產(chǎn)權(quán)風險管理體系，加強知識產(chǎn)權(quán)預(yù)警和跨境糾紛法律援助。加大對移動互聯(lián)網(wǎng)技術(shù)、商業(yè)模式等創(chuàng)新成果的知識產(chǎn)權(quán)保護，研究完善法律法規(guī)，規(guī)范網(wǎng)絡(luò)服務(wù)秩序，提高侵權(quán)代價和違法成本，有效威懾侵權(quán)行為”等相關(guān)要求。2017年年內(nèi)，國家網(wǎng)信辦、國家新聞出版廣電總局等部門先后出臺了《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》等十多項法規(guī)及規(guī)范性文件，體現(xiàn)了互聯(lián)網(wǎng)新聞信息服務(wù)從PC門戶時代到移動互聯(lián)網(wǎng)時代的全面轉(zhuǎn)型。針對網(wǎng)絡(luò)新聞信息服務(wù)、互聯(lián)網(wǎng)跟帖評論、論壇社區(qū)、互聯(lián)網(wǎng)群組、互聯(lián)網(wǎng)用戶公眾賬號、新聞信息服務(wù)新技術(shù)新應(yīng)用、互聯(lián)網(wǎng)內(nèi)容管理從業(yè)人員、網(wǎng)絡(luò)視聽節(jié)目內(nèi)容、網(wǎng)絡(luò)文學(xué)、電視上星綜合頻道、電視劇發(fā)展等等進一步強化、細化管理規(guī)范和社會責任，為網(wǎng)絡(luò)空間治理提供了法治保障。國家工信部針對移動互聯(lián)網(wǎng)內(nèi)容違規(guī)和安全陸續(xù)出臺了相關(guān)的管理要求，包括《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》(工信部令20號)、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》(工信部令24號)、《電信和互聯(lián)網(wǎng)服務(wù)用戶個人信息保護技術(shù)要求移動APP發(fā)布平臺》、《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》，推動移動互聯(lián)網(wǎng)、移動發(fā)布平臺、移動應(yīng)用APP和用戶的內(nèi)容和行為合法合規(guī)。全國人大常委會從2017年8月啟動《網(wǎng)絡(luò)安全法》和《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》“一法一決定”的執(zhí)法檢查，12月向常委會提交執(zhí)法檢查報告。對于一部新制定的法律實施不滿3個月即啟動執(zhí)法檢查，這在全國人大常委會監(jiān)督工作尚屬首次，充分體現(xiàn)了國家對于《網(wǎng)絡(luò)安全法》落地實施的高度重視。2017年10月，黨的十九大制定了新時代中國特色社會主義的行動綱領(lǐng)和發(fā)展藍圖，提出要建設(shè)網(wǎng)絡(luò)強國、數(shù)字中國、智慧社會，發(fā)展數(shù)字經(jīng)濟、共享經(jīng)濟，培育新增長點、形成新動能。在黨的十九大報告中8次提到互聯(lián)網(wǎng)，網(wǎng)絡(luò)強國戰(zhàn)略實施邁向深入?；ヂ?lián)網(wǎng)正加速與經(jīng)濟社會各領(lǐng)域深度融合，從頂層設(shè)計到百姓生活，中國互聯(lián)網(wǎng)發(fā)展又進入了一個新階段?？梢钥吹?，隨著國家依法治國的方針的深入和落實，網(wǎng)絡(luò)空間的治理法律的建設(shè)和完善，各監(jiān)管部門的積極推進，我國已逐步構(gòu)建了網(wǎng)絡(luò)安全保護法律體系和立體防控體系，成為互聯(lián)網(wǎng)發(fā)展的強有力支撐。（二）安全監(jiān)測情況2017年全年的違法違規(guī)移動互聯(lián)網(wǎng)應(yīng)用的檢出率方面情況，檢測疑似惡意應(yīng)用8052個，檢出惡意應(yīng)用2046個，檢測率25.41%；檢測疑似存在高危漏洞應(yīng)用7654個，檢出存在高危漏洞應(yīng)用7610個，檢出率99.43%；檢測疑似內(nèi)容違規(guī)應(yīng)用2458個，檢出內(nèi)容違規(guī)應(yīng)用114個，檢出率4.63%。1.惡意程序監(jiān)測情況2017年共監(jiān)測發(fā)現(xiàn)惡意程序APP2046款，如（圖2-1）所示，其中具有流氓行為的APP1385款（占67%）、資費消耗類APP609款（占30%）、惡意扣費類APP35款（占2%），如（圖2-2）所示。所謂惡意程序，就是在APP軟件中植入木馬程序，在用戶不知情和未授權(quán)的情況下，隱蔽安裝，收集用戶個人隱私信息（通訊錄、位置信息、照片、短信等）、惡意扣費、發(fā)送垃圾信息與騷擾廣告，對用戶造成嚴重的危害。圖2-1存在惡意程序的APP每月發(fā)現(xiàn)數(shù)量圖2-2惡意程序類型分布APP存在惡意程序典型案例：（1）應(yīng)用名稱:憤怒鳥大冒險文件MD5：64CD05B9B498839E6C93DE39B43FD4BB文件版本：1.3.3應(yīng)用來源：2265安卓游戲下載地址