中国IDC圈8月18日报道,8月初,工信部公布了第二季度电信服务质量通告,通告显示,今年第二季度各类应用商店中的不良软件达到32款。涉及违规收集使用用户个人信息、恶意"吸费"、强行捆绑推广其他无关应用软件等问题。其中,游戏娱乐类应用占据了被公布名单的一半以上,游戏类APP面临的移动安全形势严峻。

Q

图1. 2016年第二季度各类应用商店中的32款不良软件名单

游戏娱乐类APP风险现状分析

通付盾移动应用监测平台的数据显示,目前市面上的危险移动应用主要包括三类,即:恶意程序应用、仿冒伪造应用和高危漏洞应用。游戏娱乐类APP由于其休闲趣味的行业特性和投资回报率相对较高的特点,常年占据移动应用市场下载榜前列位置,因此也成为了不法分子和攻击者关注的对象。

从通付盾移动安全实验室日前发布的应用市场分析报告来看,2016年第二季度,游戏娱乐行业危险应用数量远高于其他行业,是移动安全的重灾区。

W

图2. 通付盾此前发布的二季度各行业危险应用统计图

一方面,游戏娱乐APP开发者编码不规范、安全意识不够、接口处理不严谨或用户信息未做处理容易导致敏感信息泄露;另一方面,在游戏娱乐危险应用的重灾区,各大安卓市场上,开源的Android系统上0day的发现,使得android app以前安全的功能变得不安全,在android系统没有补丁的情况下,漏洞存在导致APP受攻击风险加剧;更危险的是,漏洞一旦被不法分子利用,可能直接导致恶意程序应用和仿冒应用的产生。

游戏APP如何远离风险?

第一招、安全检测——远离高危漏洞

游戏娱乐类移动应用漏洞主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误、拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。通付盾移动安全实验室日前发布的应用市场分析报告披露,在二季度被发现的移动应用漏洞中,有近20%为高危漏洞。漏洞的存在尤其是高危漏洞,会对app开发者甚至用户带来较大影响,一旦漏洞被利用,有可能造成用户隐私泄露、敏感数据丢失、资金窃取、系统破坏等严重的安全问题。

E

通付盾针对游戏娱乐应用的安全检测,从应用层、网络传输层、数据存储层、服务器层四部分,对市场上的移动应用进行全面审核,发现诸如数据库接口暴露导致的数据库被篡改窃取、其他组件暴露导致的信息劫持和欺骗、敏感数据未进行完整性校验、数据文件的权限、输入、存储、显示问题、SQL注入、XSS、缓冲区溢出、弱口令、数据库泄露等安全问题,为开发者发现应用中存在的潜在风险与漏洞,最大限度地保护开发者和广大消费者利益。

通付盾针对游戏娱乐应用的安全加固,针对游戏娱乐应用存在的安全隐患和检测出的漏洞,提出完整的游戏类应用安全解决方案,全面覆盖APK加固、SDK加固、iOS加固,有效对抗代码注入、逆向工程、反编译等恶意行为,保障游戏娱乐应用的安全,并从根本上减少恶意应用和仿冒应用出现的可能性。

第二招、渠道监测——避免仿冒伪造

通常来讲,盗版软件的数量与正版软件的下载量成正比。2015年的一份手机应用盗版情况报告显示:下载量在10万以下的应用盗版数量约为39.4款,随着下载量的升高,盗版数量也随之增多,当一款软件下载量在1000万-5000万之间时,盗版数量竟然高达436.7款。游戏娱乐类应用由于下载量和使用量常年居高不下,而成为了仿冒应用的重灾区。

这些仿冒应用的存在给正版游戏开发者造成了巨大的经济损失。一方面,仿冒应用的存在影响了正版游戏的下载情况;另一方面,由于制作水平较差,还可能让手机产生卡顿、死机等问题,极大的影响了用户体验;更重要的,盗版应用由于没有系统的安全加固而极易产生漏洞,而承担这些后果的却是正版开发者。

R

通付盾移动应用渠道监测,覆盖国内外600+应用发布渠道,并从渠道分布、应用版本、下载量以及盗版率等多个维度,对移动应用进行快速识别与深入分析,形成完备的监测报告。开发者可以一站式监控全网盗版信息,第一时间发现盗版APP,保护企业的合法权益。

第三招、提高安全意识——杜绝恶意应用

通付盾发布的2016年二季度移动应用安全监测报告显示,在移动应用市场现存的恶意应用中,资费消耗的恶意行为数量居首,占比33.64%,其次是隐私窃取行为和流氓行为的应用,分别占比21.05%和16.53%。

T

图3. 通付盾发布的二季度移动应用市场恶意应用类型统计图

游戏娱乐行业恶意应用的存在,势必侵犯用户和开发者的切身利益,严重影响市场秩序:

第一、恶意应用伪装成游戏,实际是为了将携带的木马侵入用户手机,窃取用户身份信息和银行卡信息,盗取用户数字钱包、网银内的资金;

第二、恶意应用消耗网络套餐资费,有些恶意应用订阅收费服务扣除用户账户资金;

第三、恶意应用伪装成游戏,实际是将木马植入用户手机,使得不法分子可以远程控制用户设备,并发静默下载、系统破坏等多种问题。

对此,通付盾建议移动应用开发者、使用者、监管机构和移动应用市场提高移动安全意识,从根本上杜绝恶意应用的产生:

a. 消费者提高安全意识,下载正规厂商出品的、经过安全加固的移动应用,对于来源不明、开发者不明的应用程序拒绝下载;

b. 正规应用开发者提高自身的安全意识、规范编码,在应用上线前做好应用检测和应用加固,防范恶意仿冒应用的出现;

c. 正规应用开发者提高版权意识,与安全厂商联手,利用大数据监测并发现恶意应用、仿冒应用,在恶意应用造成严重后果前及时予以制止;

d. 应用市场和监管层应充分认识到恶意应用对开发者、使用者和市场秩序的多重危害,做好恶意应用排查,还游戏应用市场晴朗天空。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-05-12 13:54:43
云安全 Fortinet发布面向协同网络安全构建的操作系统
全球高性能网络安全解决方案提供商Fortinet近日发布了FortiOS 操作系统的5.6版本。FortiOS是Fortinet旗舰产品FortiGate下一代防火墙的操作系统,也是支撑Fortinet Security <详情>
2017-05-08 14:14:21
国内资讯 举全网之力 电信云堤守护网络安全
随着互联网时代的高速发展,DDOS攻击逐渐增多,中国电信集团公司为了防止DDOS攻击,提出了云堤运营商及网络安全产品。 <详情>
2017-05-03 14:24:04
互联网 网络游戏实名制:部分运营商未照办 游客仍可充值
记者登录不少网络游戏,不仅依旧存在游客登录选项,且依旧能够用游客身份进行游戏内充值。 <详情>
2017-04-21 16:51:34
云安全 《焦点访谈》说网络安全,还有哪些你不知道的安全焦点?
4月19日,央视《焦点访谈》栏目用一整期的时间,报道播出了"如何让网更能、更强、更安".这也从另一个角度反映出,网络安全已经不仅仅是信息产业的"焦点",更成为当前整个社 <详情>
2017-04-19 18:33:08
云安全 新一代Web安全治理体系让“我的地盘我做主”不再只是梦
每个人都有自己的梦想,这个梦想或大或小,这个梦想或虚幻或真实。现实生活中,我们总会有想要改变现状的小梦想。要么是去风景秀丽的地方旅游,要么是期待自己能够加薪,要 <详情>