公司新闻

移动应用商店安全吗?- 38家中美应用程序商店的安全验证调研

January 26, 2014

用户最简单地下载手机应用的方法就是去应用程序商店搜索和下载。然而, 一个关于应用商店的误解是:应用商店上的应用都是安全的,因为上面的应用已经通过了严格的安全验证,所以每一个上传的应用程序都是安全的。

然而,VisualThreat的研究人员调查了38家来自美国和中国的流行的安卓应用商店,结果发现大部分的应用商店只具备相当有限的甚至根本没有安全验证,导致应用商店里大量的流行安卓应用程序都存在有泄露隐私问题或潜在威胁的风险。

“流行”并不意味着“安全”

以上的研究结果再次验证了VisualThreat公司在2013年12月份的研究工作。在之前的博客中,VisualThreat发现在谷歌应用商店中,超过50%的流行的圣诞和新年的应用程序包含广告软件,达到了51%的历史高点。

在这篇博客中,除了谷歌,总共调研了其他37个应用商店。28商店建立在中国,覆盖中国超过 85%的安卓应用程序。其余9应用程序商店在美国。验证方法中的指标包括下面内容:

  •  应用商店是否使用杀毒软件来检测恶意程序,使用了多少家不同的杀毒引擎
  •  检测应用程序内部广告
  •  是否列出应用程序的权限要求列表
  •  是否有危险行为列表
  •  是否大量消耗应用程序的电池
  •  是否隶属官方版本


图.1 检测来自美国应用程序商店的安全验证

图1总结了9家美国安卓应用程序商店的应用安全验证情况。它们中没有任何一家使用反病毒软件扫描,也没用在应用描述中加入应用中的危险行为信息。这可能因为他们已经在后端使用了安卓模拟器来进行恶意软件检测, 或者它们只显示合法应用。另外,它们也不检测广告插件,可能的目的是保持安卓系统为移动开发者提供的广告盈利模式。最后,电池使用和官方版本检查也没用(这些问题并不像中国那样严重)。

最不好的一点,没有一家应用商店显示应用程序里的风险行为。面对上千万的散布在各个应用商店里的程序,用户无法选择。他们渴望知道更多关于应用中隐藏的潜在的威胁信息,比如应用程序内部的数据和隐私泄露风险。但是用户从应用商店得不到这种服务。


图.2 检测来自中国应用程序商店的安全验证

因为在中国没有一个如同美国Google Play那样可集中授权和发布的应用程序商店, 导致应用鱼龙混杂。国内的应用商店使用了更多的验证方法:部署反恶意软件, 山寨版本检测, 广告插件甚至电池消耗。 例如,一半以上的应用程序商店部署1到3个恶意软件扫描引擎, 还有一些列出了应用程序的权限信息列表。

“更多的安全验证”并不意味着“低风险”

为什么? 因为你看到的这些安全认证,并没有实际执行。例如,VisualThreat的威胁报告显示某个应用商店里的一个应用程序中使用了大量的广告SDK。用户对这个应用程序的评论中也包括抱怨该程序有注入广告。具有讽刺意味的是,“无广告”标签至今仍然设立在其应用程序图标旁。

应用商店的经营模式是吸引更多的流量和应用。因此,一些应用程序商店由于经济原,实际上他并不全面执行安全验证。否则,将减少应用程序的数量, 并且伤害他们的商业模式。“水太清而无鱼“的道理大家都懂的。


图.3 “名不副实“的广告验证

至今,没有美国和中国的应用程序商店能够显示应用的危险行为信息,而这正是用户渴望得到的最重要的信息。我们分析了来自中国两个流行应用商店中的前20位最流行的应用的危险行为。数据和隐私泄漏是最常见的问题,如图4所示。


图.4 排名前20位应用程序的危险行为

当前应用程序商店即使已经部署反恶意软件功能,但只提供了非常有限的实时的,准确的和可见性的移动威胁安全验证。

为了解决这个问题,作为领先的移动安全厂商,VisualThreat能为移动应用程序提供最全面的威胁报告和安全认证得分。通过对数以百万计的移动应用程序提供MobileThreatCert分数和威胁分析报告,VisualThreat使客户能以可视化方式来发现潜在的风险。MobileThreatCert使用0到100的数字来表示应用程序的危险指数。移动应用越危险其MobileThreatCert得分就越高。


图.5 VisualThreat移动威胁验证

更多细节请访问 cn.visualthreat.com.