《移动互联网应用安全白皮书（2017年）》（全文）

【计算机论文】《移动互联网应用安全白皮书（2017年）》（全文）

移动互联网应用安全白皮书（2017年）广东省公安厅网警总队2018年1月目录前言3一、2017年APP安全总体状况5二、移动应用安全监管情况6（一）安全立法情况6（二）安全监测情况10（三）媒体曝光情况30（四）违法犯罪查处情况31（五）实名制落实情况34（六）行业自律情况35三、移动应用安全态势分析36（一）安全状况不容乐观37（二）网络黑产链条滋生39（三）安全治理有待推进40四、2018年工作展望41（一）加强安全意识教育41（二）加强安全监督管理42（三）加强监测平台能力42（四）加强违法犯罪打击43（五）强化媒体宣传曝光43（六）发挥行业自律作用43附录一常见的移动网络犯罪手法45附录二2017年移动安全热点事件47附录三移动应用安全监测方法58致谢66关于广东省公安厅公安网警总队67前言随着移动互联网的高速发展，移动应用服务（以下简称“APP”）已成为互联网重要的信息传播渠道和公众服务平台，据不完全统计，我国境内现有APP2200余万个，移动应用软件分发平台330余家，年移动互联网应用经济规模超过2500亿元，移动互联网应用服务已成为大众创业、万众创新的重要载体。但也应看到，移动互联网在带来便利的同时，APP软件中木马病毒、恶意程序和违法有害问题日益突出，对互联网健康有序发展和广大人民群众的切身利益带来了现实威胁和危害，突出表现在：一些不法分子利用APP传播计算机木马、病毒，窃取网民个人信息，进行赌博、诈骗和盗窃等违法犯罪活动，利用APP直播进行淫秽色情表演，利用具有信息发布、社交功能的APP传播各种谣言和违法信息；一些APP发布平台和运营者安全意识淡薄、安全管理能力不足，管理防范措施不完善。为规范APP市场管理、有效防范和打击违法APP，保障人民群众合法权益，促进移动互联网行业健康有序发展，2014年以来，在公安部网安局的授权和指导下，广东省公安厅网警总队成立“广东移动互联网安全监测中心”（以下简称“监测中心”），建设“移动互联网应用安全管理平台”（以下简称“管理平台”），承担全国APP安全监测专项任务，与全国公安机关网安部门及重点APP发布平台建立警企协同、全国联动的违法移动应用快速处置工作机制，全面开展国内APP安全监管工作，累计监测APP2200万余款，清理下架违法违规应用160万余款，将6万余款应用列入黑名单，通过新闻媒体曝光74款存在传播违法有害信息、破坏用户数据、窃取用户信息等突出安全问题的APP，全国各地公安机关网安部门关停管理混乱、安全责任不落实、问题突出的移动APP发布平台130余家。一、2017年APP安全总体状况2017年，广东省公安厅网警总队加大安全监测力度，依托监测中心累计将国内330余家APP发布平台已上线的2200余万款APP纳入监测范围，抽检APP343万余款（占15.11%），发现存在恶意程序代码、高危安全漏洞、内容违规、仿冒盗版等违法违规行为和风险的移动应用APP50723款，其中恶意程序APP2046款（占4.03%）、高危漏洞APP7610款（占15%）、内容违规APP114款（占比0.22%）、盗版仿冒APP40953款（80.74%），如（图1-1）所示。违法违规移动互联网应用APP数量（图1-1）全年违法违规APP地域整体分布情况如（图1-2）所示，从地域分布来看，广东、北京、湖南等APP发布平台较多的地区，违法违规APP检出量也相对较多。而福建、贵州等地区，虽然APP发布平台数较少，但违法违规APP检出量也占一定比例。全年恶意应用地域整体分布（图1-2）二、移动应用安全监管情况（一）安全立法情况随着信息网络技术迅猛发展和移动智能终端广泛普及，移动互联网以其泛在、连接、智能、普惠等突出优势，有力推动了互联网和实体经济深度融合，已经成为创新发展新领域、公共服务新平台、信息分享新渠道。移动互联网新技术快速演进、新应用层出不穷、新业态蓬勃发展，工具属性、媒体属性、社交属性日益凸显，生态系统初步形成、加速拓展，越来越成为人们学习、工作、生活的新空间。但与此同时，移动互联网安全威胁和风险日渐突出，并向经济、政治、文化、社会、生态等领域传导渗透。网络安全是事关国家安全的重大战略问题，我国从2014年2月中央网络安全和信息化领导小组成立，国家最高领导人习近平总书记担任小组组长，提出“没有网络安全就没有国家安全，没有信息化就没有现代化”和“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”，到2016年11月正式公布我国网络安全领域的基本法律《中华人民共和国网络安全法》，并于2017年6月1日正式施行，相关配套的规范规定，比如《关键信息基础设施安全保护条例》、《个人信息和重要数据出境安全评估办法》、《网络产品和服务安全审查办法》等规范性文件，以及《数据出境安全评估指南》、《个人信息安全规范》、《关键信息基础设施网络安全保护基本要求》等规定指导性文件正在陆续制定和发布，国家网络空间治理在法治化轨道上一步步地留下了坚实的足迹。2016年6月28日国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》，该规定旨在加强对移动互联网应用程序（APP）信息服务的规范管理，促进行业健康有序发展，保护公民、法人和其他组织的合法权益。移动互联网应用程序提供者和互联网APP发布平台服务提供者应当切实履行管理责任，积极承担社会责任，自觉接受公众监督，为网民提供安全、优质、便捷、实用的信息服务。2017年年初中办、国办印发《关于促进移动互联网健康有序发展的意见》，移动互联网驱动引领作用和安全风险防范受到进一步重视。明确提出“建立完善与移动互联网演进发展相适应的市场准入制度，健全电信业务分级分类管理制度，健全移动互联网新业务备案管理、综合评估等制度”和“建立知识产权风险管理体系，加强知识产权预警和跨境纠纷法律援助。加大对移动互联网技术、商业模式等创新成果的知识产权保护，研究完善法律法规，规范网络服务秩序，提高侵权代价和违法成本，有效威慑侵权行为”等相关要求。2017年年内，国家网信办、国家新闻出版广电总局等部门先后出台了《互联网新闻信息服务管理规定》等十多项法规及规范性文件，体现了互联网新闻信息服务从PC门户时代到移动互联网时代的全面转型。针对网络新闻信息服务、互联网跟帖评论、论坛社区、互联网群组、互联网用户公众账号、新闻信息服务新技术新应用、互联网内容管理从业人员、网络视听节目内容、网络文学、电视上星综合频道、电视剧发展等等进一步强化、细化管理规范和社会责任，为网络空间治理提供了法治保障。国家工信部针对移动互联网内容违规和安全陆续出台了相关的管理要求，包括《规范互联网信息服务市场秩序若干规定》(工信部令20号)、《电信和互联网用户个人信息保护规定》(工信部令24号)、《电信和互联网服务用户个人信息保护技术要求移动APP发布平台》、《移动互联网恶意程序监测与处置机制》，推动移动互联网、移动发布平台、移动应用APP和用户的内容和行为合法合规。全国人大常委会从2017年8月启动《网络安全法》和《关于加强网络信息保护的决定》“一法一决定”的执法检查，12月向常委会提交执法检查报告。对于一部新制定的法律实施不满3个月即启动执法检查，这在全国人大常委会监督工作尚属首次，充分体现了国家对于《网络安全法》落地实施的高度重视。2017年10月，党的十九大制定了新时代中国特色社会主义的行动纲领和发展蓝图，提出要建设网络强国、数字中国、智慧社会，发展数字经济、共享经济，培育新增长点、形成新动能。在党的十九大报告中8次提到互联网，网络强国战略实施迈向深入。互联网正加速与经济社会各领域深度融合，从顶层设计到百姓生活，中国互联网发展又进入了一个新阶段。可以看到，随着国家依法治国的方针的深入和落实，网络空间的治理法律的建设和完善，各监管部门的积极推进，我国已逐步构建了网络安全保护法律体系和立体防控体系，成为互联网发展的强有力支撑。（二）安全监测情况2017年全年的违法违规移动互联网应用的检出率方面情况，检测疑似恶意应用8052个，检出恶意应用2046个，检测率25.41%；检测疑似存在高危漏洞应用7654个，检出存在高危漏洞应用7610个，检出率99.43%；检测疑似内容违规应用2458个，检出内容违规应用114个，检出率4.63%。1.恶意程序监测情况2017年共监测发现恶意程序APP2046款，如（图2-1）所示，其中具有流氓行为的APP1385款（占67%）、资费消耗类APP609款（占30%）、恶意扣费类APP35款（占2%），如（图2-2）所示。所谓恶意程序，就是在APP软件中植入木马程序，在用户不知情和未授权的情况下，隐蔽安装，收集用户个人隐私信息（通讯录、位置信息、照片、短信等）、恶意扣费、发送垃圾信息与骚扰广告，对用户造成严重的危害。图2-1存在恶意程序的APP每月发现数量图2-2恶意程序类型分布APP存在恶意程序典型案例：（1）应用名称:愤怒鸟大冒险文件MD5：64CD05B9B498839E6C93DE39B43FD4BB文件版本：1.3.3应用来源：2265安卓游戏下载地址