1、 疫情中的安全隐疫情中的安全隐患：移动应用程序患：移动应用程序安全现状安全现状 对新冠疫情期间最受欢迎的 Android 应用程序进行的安全分析 概述概述 Synopsys 网络安全研究中心（CyRC）分析了 3,000 多个最受欢迎的 Android 应用，以评估新冠疫情爆发期间移动应用的安全状态。该研究针对 18 个类别中下载量最大、收入最高的应用程序，其中许多在疫情期间均呈现出爆炸式增长。该研究集中在移动应用安全性的三个核心领域：漏洞：漏洞：应用程序的开源组件中存在已知软件漏洞 信息泄漏：信息泄漏：应用程序代码中暴露的私钥、令牌和密码等敏感数据 移动设备权限：移动设备权限：要求过度访问移

2、动设备数据和功能的应用程序 分析显示，大多数的应用中都包含具有已知安全漏洞的开源组件。分析还特别指出了其他普遍存在的安全问题，包括应用程序代码中大量的敏感数据潜在暴露以及过度的移动设备权限的使用。对消费者而言，该报告指出了一个令人震惊的事实：即使最受欢迎的移动应用也无法幸免于安全和隐私方面的弱点，因此不应被默认为是可信的。对应用开发者而言，该报告强调了对安全软件开发实践以及更好的全面的隐私和安全保护实践的迫切需求。疫情期间最受欢迎的 18 类应用程序，包括游戏、教育、银行业务以及健康与健身 每个应用程序平均 39 个漏洞 44%的漏洞被认为是高风险的 94%的漏洞已有公开报道的修复程序/方案

3、73%的漏洞是两年前就已经首次披露 在应用代码中数千条数千条敏感数据被暴露 移动设备权限的过度过度使用 分析了 3,335 个移动应用程序 63%的应用程序中包含已知安全漏洞 密码、令牌和密钥：2224 电子邮件地址：10863 IP 地址和 URL:392795 普通权限：33,385 敏感权限：15,139 非第三方使用的权限：10,653 目录目录 疫情中的安全隐患：移动应用程序安全现状.1 做什么：移动应用程序的针对性分析.3 如何做：Synopsys 业界领先的 Black Duck Binary Analysis.3 结果：Synopsys 发现了什么.4 开源漏洞调查结果.4 已

4、知漏洞.4 按应用类别划分的调查结果.5 分析漏洞.6 借助Black Duck 安全公告深入探究安全漏洞.7 有实际可利用风险的漏洞.8 具体的开源漏洞调查结果.9 信息泄漏调查结果.10 移动权限调查结果.11 总结.15|1 疫情中的安全隐患：疫情中的安全隐患：移动应用程序安全现状移动应用程序安全现状 在这个充满挑战的时期，保持社交距离以及封锁带来的限制导致世界以令人瞩目的方式往线上转移，这也许会永久性地改变我们的工作、学习和交流互动的方式。社会快速适应了这种情况，开始在线上提供之前一直仅在线下可用的资源，从而导致愈发依赖移动应用程序开展日常活动的文化。透过新冠疫情的镜头，Synopsy

5、s 网络安全研究中心（CyRC）开始探索在这个日益由应用程序驱动的世界中，应用程序的安全状况到底如何。该分析主要围绕着两个关键问题展开：最受欢迎最受欢迎的移动应用是否足够安全，或者它们是否的移动应用是否足够安全，或者它们是否最最容易受到攻击？容易受到攻击？在确定应用程序在确定应用程序可访问可访问的的设备设备权限权限和数据和数据时，应用时，应用开发人员是否开发人员是否会会优先考虑安全性优先考虑安全性和隐私和隐私问题问题？无论您是移动应用程序的用户还是开发者，抑或既是用户又是开发者，您都必须了解当您将生活或业务从线下转移到线上时，所需承受的相对风险，这一点很重要。Synopsys 软件组成分析（S

6、CA）工具 Black Duck Binary Analysis 可对最受欢迎的移动应用程序进行全面分析，以便您全方位了解在这个崭新、远程生活时代所面临的潜在风险、影响和危害。“随着新冠疫情的爆发继续对世界产生影响，移动应用程序的下载、使用和营收在2020年第二季度均创下历史新高。根据应用商店 情报公司App Annie的最新数据，2020年第二季度，移动应用程序的使用量同比增长了40%。”1|2 CyRC 分析了截至 2021 年第一季度 Google Play 商店中最受欢迎的 3,335 个免费和付费 Android 应用程序。扫描的应用扫描的应用程序程序数量（按类别）数量（按类别）每个

7、应用程序平均的开源组件数量（按类别）每个应用程序平均的开源组件数量（按类别）|3 商业、健康与健身以及教育类应用的下载量分别比上一季度增长了115%、75%和50%。2 做什么：做什么：移动应用移动应用程序程序的针对性的针对性分析分析 为了考察移动应用程序安全性的“新冠病毒状态”，CyRC 分析了截至 2021年第一季度 Google Play 商店中最受欢迎的 3,335 个免费和付费 Android应用。它们都是因疫情爆发而经历了显著增长的应用，涵盖教育、娱乐、游戏、健康与健身、餐饮、生产限制和教辅工具等多个类别。CyRC 利用业界领先的专业知识、技术和资源来帮助分享软件安全知识与最佳实践

8、。针对三个主要领域的潜在安全风险，CyRC 团队使用 Black Duck 扫描并分析这些最受欢迎的应用程序：开源安全漏洞：开源安全漏洞：您每天使用的应用程序的开源组件中是否隐藏着已知安全漏洞？潜在潜在的的信息泄漏实例：信息泄漏实例：应用开发人员是否无意间将密码、电子邮件地址或 AWS 和 Google 云密钥等敏感数据暴露在编译后的应用程序中？移动权限：移动权限：应用程序需要从设备中获得哪些权限？是否超出必要权限？或者说，是否存在若使用不当将会破坏数据的权限？如何做：如何做：Synopsys 业界业界领先的领先的Black Duck Binary Analysis 为了进行可靠的调查，CyR

9、C 使用 Black Duck 工具的独特功能-Black Duck Binary Analysis 分析了与每个应用程序关联的 Android 软件包中所包含的开源软件组件和其它内容。鉴于 BlackDuck 对应用程序的已编译的二进制文件（而不是源代码）进行分析，因此，它可以扫描几乎任何软件，从桌面和移动应用程序直到嵌入式系统固件。Black Duck 不仅能够识别开源并将漏洞和许可证与其进行匹配，而且还能指出敏感信息的潜在风险，例如可能影响应用程序安全性信息泄漏和移动权限。|3|4 结果：结果：Synopsys 发现了什么发现了什么 CyRC 共分析了 3,335 个应用，发现了一些与这

10、些应用程序的开发者、其公司和用户有关的值得注意的风险。无论您是用户还是开发者（抑或既是用户又是开发者），分析结果揭示了哪些因素会影响正在开发和使用的应用程序安全性。开源漏洞开源漏洞调查调查结果结果 总体而言，被扫描应用程序中 98%的应用程序有包含开源组件。这个数字与 Synopsys 的其它调查研究相一致，再次证实了大家一致认可的一个整体趋势：开源是当今几乎所有应用程序的基础。只要积极主动地管理和维护，开源本身不会带来风险。但这些分析结果显示，被扫描应用程序中 63%的应用程序包含存在至少一个已知安全漏洞的开源软件组件，每个易受攻击的应用程序平均有 39 个漏洞。虽然具体情况因应用程序类别而

11、异，但却无一幸免。在所有的 18 类应用程序中，至少有三分之一的应用程序包含具有已知安全漏洞的应用程序。已知漏洞已知漏洞 在 CyRC 使用二进制分析方式进行扫描的3,335 个应用程序中，有 2,115 个包含易受攻击的组件（63%），每个易受攻击的应用程序中平均有 39 个漏洞。所发现的安全漏洞在所有这些应用程序中被扫描到总计超过 8.2 万次。这意味着目前最受欢迎的大多数 Android 应用都存在某种漏洞，与应用类别（生活，金融等）或其开发者无关。对于经常使用此类应用程序的消费者而言，这些漏洞的普遍程度不禁让其担心个人信息和安全受到威胁。应用程序所有者（开发者及其公司）同样有此担心，因

12、为他们的企业数据、员工数据、客户数据和声誉都面临风险。|5 按应用按应用程序程序类别划分的类别划分的调查调查结果结果 为了将本报告中标出的令人不安的的漏洞放到合适的场景，CyRC 按应用程序类别对扫描结果进行了过滤，揭示出最易受攻击的应用类别。最引人注目的结果是金融、游戏和生产效率应用程序中的漏洞数量 这些都是在新冠疫情期间广受欢迎的应用程序类别。包含易受攻击组件的被扫描应用程序的百分比（按类别）最受欢迎免费游戏 最畅销游戏 银行类应用程序 预算类应用程序 支付类应用程序 最受欢迎付费游戏 最畅销应用程序 最受欢迎免费应用程序 生产效率应用程序 教育类应用程序 教辅类工具 娱乐类应用程序 餐饮

13、类应用程序 最畅销交友类应用程序 最受欢迎免费交友类应用程序 最受欢迎付费应用程序 生活类应用程序 健康与健身类应用程序 通过对整个常见漏洞披露（CVE）数据进行分析，最为堪忧的结果来自对金融和银行类应用程序的分析。在被扫描的107 个银行类应用程序中，有 94 个包含漏洞，即 88%，远高于 63%的平均值。这些应用中总共被扫描到 5,179 个漏洞，相当于每个应用平均包含 55 个漏洞。鉴于金融类应用需要一些最敏感的个人数据，因此，考虑到安全漏洞的潜在影响，这些数字不禁令人担忧。|6 游戏类应用大抵也是这种情形。最畅销游戏和免费游戏在其各自被扫描的 257 个和 288 个应用程序中各自总

14、计发现了 10,404 和 9,829 个漏洞。这意味着 94%的最畅销游戏和 96%的最受欢迎免费游戏都包含漏洞。最畅销应用程序和免费应用程序各自平均包含 43 和 35 个漏洞。随着游戏在新冠疫情期间的普及度迅速提升，尤其是考虑到更容易轻信他人的青少年游戏受众，这一调查结果引起了人们对在线应用程序的儿童相应级别风险以及泄密事件可能会暴露哪些个人数据的关注。生产效率应用程序 例如电子表格和文档等个人和专业业务活动类应用程序 的分析结果稍有好转，但基本相同。在被扫描的 158 个应用程序中，有 92 个包含漏洞（58%）。这一比例低于总体平均水平，但识别出的 4,787 个漏洞这意味着每个易受

15、攻击的应用平均包含有 52 个漏洞，也是相当高的。因此，这些应用程序还需做一些工作才能确保用户安全。分析漏洞分析漏洞 除了对诸如本报告之类的报告数据进行研究外，CyRC 还于 2018 年开始发布Black Duck 安全公告（Black Duck Security Advisories，BDSA）。BDSA 是经过研究分析的、增强的和扩充处理的极为详细的漏洞记录，旨对开源安全问题提供国家漏洞数据库的内容之外的全面透彻分析。BDSA 还提供问题修补和变通的解决方案信息、常见漏洞评分系统得分(CVSS)、漏洞利用信息和常见漏洞枚举(CWE)分类。为了利用该增强数据来制作本报告，CyRC 开展了以

16、具有 BDSA 记录的漏洞为侧重点的更为详细的漏洞分析 即2018 年之后披露的漏洞。在对本次移动应用研究中发现的漏洞进行 BDSA 覆盖评估时，CyRC 还发现近四分之三的漏洞是在 2018 年之前披露的。也就是说，这些漏洞部分都不是新问题，开发者根本没有考虑过用于构建应用程序的开源组件是否安全。3,137 CyRC 在移动应用程序研究中发现了 3,137 个不同的漏洞 2,285(73%)其中 2,285 个是在两年前披露的 852(27%)852 个漏洞是在 2018至 2021 年间披露的 782(25%)782 个漏洞具有 BDSA记录|7 借助借助Black Duck 安全公告深入

17、探究安全漏洞安全公告深入探究安全漏洞 通过查看 BDSA 记录，CyRC 发现 782 个漏洞中有超过 94%是可修复的，这意味着受影响的开源组件有安全补丁或更安全的版本可用。782 个漏洞中只有 5.75%没有已知解决方案。既然如此，企业为何未能修复这些漏洞呢？漏洞修补一直都很重要，应该被开发者视为重中之重。CyRC 所研究的都是高度需求应用程序，这使得它们的安全性变得更加重要。如果不能解决这一问题，那么，最常用的应用程序及其广大用户都将容易受到攻击。虽然我们不可能立即修复应用程序中的所有漏洞，但应优先考虑那些最大可能被利用的漏洞。如想了解这些漏洞为何仍会存在于这些应用程序中，让我们先来看看

18、开发团队修复漏洞前所需信息。开发团队修复漏洞前所需信息 信息源：信息源：与商业软件不同，开源软件需要用户自己去获取补丁，而不是主动将其推送给用户。因此，工作团队需要可靠且多样化的漏洞数据源，将这些信息最好是由他们每天使用的警报系统（如电子邮件、Slack 和Teams等）推送到给他们。脆弱组件的发现与识别：脆弱组件的发现与识别：要想修复开源漏洞，工作团队首先必须知道是否存在危险组件。如想查明应用程序中易受攻击的组件，工作团队首先需要找出并清点应用程序中的所有开源组件。理清理清应该应该优优先修复哪些组件先修复哪些组件的方法的方法/途径途径：虽然已有和已知漏洞列表和清单，但工作团队通常缺乏时间和资

19、源来立即修复所有漏洞。因此，他们需要掌握有关漏洞的其他信息，例如其严重性、可利用性、攻击影响力及其在应用程序中的可访问性，这对确保集中资源优先处理最严重的漏洞至关重要。完整的补丁信息：完整的补丁信息：待工作团队知晓所用组件中存在哪些漏洞以及应该优先修复哪些漏洞之后，最后的工作重点将是如何实际修复漏洞。警报附带的简明扼要的补丁信息将使工作团队能够快速使用该信息来修复漏洞。|8 有有实际可实际可利用风险的漏洞利用风险的漏洞 CyRC 认为，近一半的漏洞（44%）被识别为高风险漏洞，原因是要么已被有效利用，存在已记录的概念验证（PoC）漏洞利用程序，要么已被归类为远程代码执行（RCE）漏洞。与潜在或

20、未经证实的风险因素不同，这些漏洞代表切实的威胁。简单说，概念验证（PoC）漏洞利用程序是指可用于重现漏洞的一种脚本、文件或代码片段，但需要老练的攻击者进行修改才能在真实场景中攻击目标。漏洞利用程序类似于 PoC，但它几乎无需修改便可用于网络攻击。RCE是指远程攻击者直接在目标系统上执行代码。BDSA 记录 RCE 漏洞是因为具有 PoC 或漏洞利用程序的 RCE 漏洞表明:对于给定漏洞而言，此类由远程攻击者发动的攻击实际上是可能的，因此解决这一问题是至关重要的。CyRC 发现只有 5 个被识别出漏洞存在这种情况。具有 PoC 或漏洞利用程序的漏洞，或被归类为 RCE 漏洞的漏洞，都是固有地具有

21、风险，很容易受到攻击。它们不仅是潜在风险，而且还是切实存在的威胁应用程序完整性和用户安全性的真实威胁。CyRC 还发现，尽管这些漏洞在本质上是严重的，但大多数均可通过已知的公开解决方案来减轻风险。所有的 RCE 漏洞都有已知解决方案，在具有 PoC 漏洞利用程序的漏洞中，95%都有现成的解决方案。漏洞修复拖延的时间越长，其被利用的几率就越大，修复的难度也就越大，尤其是更为严重的有实际可利用程序的漏洞。随着用户数量的增加，忽视修复这些漏洞的潜在后果令人担忧。鉴于很大一部分网络攻击是由未修补的开源软件组件引发的，因此，不对具有已知修复程序的漏洞进行修补始终是一种有问题的安全实践，且风险极高。在这个

22、速度越来越快、要求越来越苛刻的环境中，要想以合理的规模和速度来应对这些风险，必须借助适当的工具和流程来评估应用程序，并且能够访问了解和确定优先级以及修复安全漏洞所需的信息。CyRC 认为，近一半的漏洞（44%）被识别为高风险漏洞，原因是要么已被有效利用，存在已记录的概念验证（PoC）漏洞利用程序，要么已被归类为 RCE 漏洞。|8|9 具体的开源漏洞调查结果具体的开源漏洞调查结果 CyRC 将漏洞调查结果按类别进行了分组，有助于更详细地了解哪些应用程序具有最大的安全风险。主要调查结果以及按类别分列的详细数据如下。教育类应用教育类应用程序程序：疫情期间，教育类应用程序在实现远程教育方面发挥了重要

23、作用。值得注意的是，Synopsys 发现教育类应用程序的漏洞总数最多，并且有 PoC、漏洞利用程序或 RCE 的漏洞所占百分比也最高。幸运的是，这些应用程序并不属于的前三类缺乏解决方案且易受攻击的应用程序，但它也提出了有关安全实践的一些问题。这些具有已知解决方案的漏洞为何没有得到修复？如果漏洞被利用，影响会是多大？这些应用程序因疫情爆发而突然变得非常重要，用户相信它们能够妥善处理其个人信息。在文化方面，我们一直相信教育是可信的，于是放松警惕，认为教育工具是安全的。我们还相信孩子们可以安全地使用这些应用程序，因此，这些调查结果有些令人感到特别沮丧。银行类应用银行类应用程序程序：CyRC 令人不

24、安的另一个调查结果是，银行类应用程序的可修复和不可修复漏洞数量均位列前三。这使我们的金融数据面临很大风险；我们相信这些应用程序能够妥善处理敏感的个人信息。通过实施能够帮其找到可用漏洞解决方案的安全工具，开发人员可以轻松地消除本研究中发现的近 40%的漏洞。通过对漏洞进行优先级排序并集中资源来处理最紧迫、最危险的潜在漏洞，开发人员可以找到变通解决方案来弥补安全差距。对各类应用对各类应用程序程序进行分析的具体结果进行分析的具体结果 在所有具有相应 BDSA 的漏洞中：具有可利用 BDSA 和可用修复程序的应用程序中占比最高的类别：具有可利用 BDSA 但没有可用修复程序的应用程序中占比最高的类别：

25、包含漏洞的应用程序中占比最高的类别：|10 具体的信息泄漏调查结果 JSON Web 令牌令牌（JWT）65 AWS 秘钥秘钥 26 Twilio 令牌令牌 406 Google Cloud 令牌令牌 804 Facebook 令牌令牌 27 非对称私钥（非对称私钥（RSA）60 OAuth 令牌令牌 817 电子邮件地址电子邮件地址 10,863 IP 地址地址 27,568 其中 4 个被标记为可疑地址 URL 365,227 其中 11 个被Google Safebrowsing标记为可疑 URL 信息信息泄漏泄漏调查结果调查结果 简单说，信息泄漏是指开发人员不小心将个人或敏感数据保存在

26、应用程序的源代码或配置文件中。若落在坏人手里，这些信息可能会被恶意利用。CyRC 调查显示，最常见的应用程序也没有避免信息泄漏。为了开展此项分析，CyRC 使用 Black Duck 来检查主要类型的信息泄漏。为了更好地理解这些调查结果的含义，让我们来看看每类信息泄漏的后果。令牌、密钥和密码：令牌、密钥和密码：如果开发人员留下此类信息（AWS 密钥、Google Cloud 令牌和用户凭据等），可能会带来巨大的潜在风险。此信息允许个人访问某人的服务器、系统或敏感属性。攻击者可以从那里窃取 IP、植入恶意软件或启动由应用程序所有者付费的计算资源。例如，JSON Web 令牌（JWT）是一种在各方

27、之间安全传递信息的方式。尽管 JWT 可以被加密，但通常是不被加密的。JWT 需要数字签名密钥，并且本质上起到凭证的作用，因此，它们在应用中的停留时间永远不应超过绝对必要时间。若将其留在源代码中，则可以被轻松解码，从而揭开有助于攻击者利用该应用程序的信息。CyRC 在银行类应用程序中发现了四个 JWT，在预算类应用程序中发现了三个 JWT，引起了很大的关注。IP 地址和地址和 URL：如果应用程序指向某些 URL/IP，它们可能会在无意间引发有害活动。例如，某些 URL/IP 可以主动为恶意内容或其它不适当的内容提供服务。另一些 URL 可能只是简单地公开私有 API、内部系统或隐藏的供应商资

28、源，从而为恶意行为者提供开放式攻击途径。无论哪种情况，使用它们都会触发危险信号和问题。电子邮件地址：电子邮件地址：意外留在源代码中的电子邮件地址可能会在无意中泄漏内部系统（例如域）和用户名。它们可被用来发动对系统用户的攻击切入点（尤其是与令牌或 IP 地址结合使用时）或网络钓鱼攻击。以上任意项的组合：以上任意项的组合：攻击者可将其收集到的零散信息与其拥有的其它数据结合使用，从而填补空白并找到攻击途径。例如，攻击者可将电子邮件和与使用面向远程 API 的 URL 的用户名、密码的结合在一起，以发现易于利用的攻击途径。任何类型的信息泄漏都应被视为需要优先处理的高风险安全事件，可能会给开发者和用户带

29、来严重后果。|11 信息信息泄漏泄漏案例研究案例研究 在最近一个令人记忆深刻的的信息泄漏真实案例中，SolarWinds 公司近期成为供应链攻击的受害者。如该公司在 2021 年 2 月 26 日所述，一名前实习生因为粗心的信息安全操作而泄露了一个关键出奇地内部密码（solarwinds123）。一旦该密码泄漏，使得涉嫌发动此次攻击的俄罗斯黑客能够访问 SolarWinds 用来为其旗舰产品 Orion 编排软件更新的系统。从这里攻击者将恶意代码插入到本来合法的软件更新中。一旦被插入到代码库中，SUNSPOT 恶意软件便可监视并识别 Orion 编译所涉及的进程，通过替换源文件来植入作为合法

30、Orion 插件之恶意版本的 SUNBURST 恶意软件。格外小心翼翼地不破坏任何 Orion 构建，并将恶意流量与其他的SolarWinds 网络流量相混合，攻击者得以逃脱开发团队的注意。一旦 Orion 更新包被部署到大约 1.8 万客户，SUNBURST 便会将信息发送回攻击者，其被用来为其它的恶意软件、更广泛的访问和间谍活动寻找目标。目标中一些是财富500 强企业，例如 Microsoft 和 Intel 等，以及国土安全部和财政部等政府机构。透过这个案例，信息泄漏的影响一目了然。CyRC 发现的大量潜在信息泄漏案例揭示出令人不安的趋势。如若不能解决信息泄漏安全问题，则应用程序及其用户

31、都将容易受到攻击。通过在部署之前编译状态阶段分析应用程序，Black Duck 等工具可以帮助轻松识别和减轻信息泄漏风险。这样企业能够加强其安全势态，避免发生诸如 SolarWinds 之类的惨痛错误。10,653 个不供第三方应用程序使用的权限 15,139 个敏感权限 33,385 个普通权限 移动权限调查结果移动权限调查结果 用户需要知道他们允许应用程序访问哪些个人数据，还需要了解他们所授予的权限级别以及黑客获取这些信息的潜在影响，包括巨额话费、访问家庭安全系统、甚至访问个人位置数据。企业和开发人员需要知道其硬件中嵌入了哪些第三方移动应用，还需要了解潜在安全差距和第三方应用程序可以访问的

32、个人数据量，并且了解相关责任级别至关重要。从供应链的角度来看，在采购第三方应用程序时，企业和开发人员必须在无需访问源代码情况下确保安全性。CyRC 使用 Black Duck 来检查与主要 Android 应用程序相关联的移动权限。CyRC 首先按类别和总体检查了每个应用要求用户的访问权限的平均值。接下来，CyRC 对平均值超出两个以上标准偏差的特定应用进行了研究，尤其是那些权限请求数量远远高于平均数的应用程序。CyRC 发现，每个应用平均需要 4.5 个敏感权限，3 个不供第三方应用程序使用的权限 第三方应用程序是指不由操作系统提供商开发的应用。考虑到需要用户放弃的个人数据和控制权，这些数值

33、似乎过高了。|12 每类应用程序所需的权限平均数 具体的移动权限调查结果具体的移动权限调查结果 经分析，CyRC 确定共有 111 个应用程序所需的权限远远超过 18 个权限的平均值（约占我们研究组的 3%）。某些应用程序类别具有更高的另类另类应用程序百分比（移动权限需求远高于平均值的应用程序总的百分比）：教辅类工具：7%健康与健身类应用程序：6.5%最畅销交友类应用程序：6%教育类应用程序：5.6%某些应用程序类别的权限数量高于平均水平：预算类应用程序：平均 26 个权限 支付类应用程序：平均 25 个权限 银行类应用程序：平均 25 个权限|13 为了更清楚地了解这些过度权限需要什么，Cy

34、RC 深入研究了新冠疫情期间需求量出现显著增长的两类应用程序 教辅类应用程序以及健康与健身类应用程序。教辅类应用教辅类应用程序程序：这是一类非常受欢迎的应用程序，因为新冠疫情期间的远程学习严重依赖于适合教师和各个年龄段儿童的技术。CyRC 发现，这一类别的另类应用程序需要 26 个或更多权限才能使用此类应用程序。一个下载量超过 100 万次的应用程序需要 11 个权限，Google 将其归类为“危险防护级”（Protection Level:Dangerous）权限。这非常令人担忧，因为 Google 仅将 32 类权限归类为“危险”权限。任何需要 11 个信息或数据访问权限的应用都有可能暴露

35、信息，必须再三考虑。这些危险权限也称为运行时权限，它们允许应用程序访问受限数据和执行受限操作，并且许多此类权限都允许应用程序访问私有或敏感的用户数据。在这类应用中，家长应对其中的某些权限给予注意，特别是“访问精准定位”（Access Fine Location）权限。某些情况下，应用程序可能真的需要这一级别的智能，但是，黑客亦很容易利用这一权限来获取孩子的确切位置。应用程序开发人员有其它选择：“访问粗略定位”（Access Coarse Location）权限，提供不太精准的大概位置数据，因此更适合涉及未成年人的情况。|14 健康与健身类应用健康与健身类应用程序程序：随着体育锻炼转移到线上并走

36、入家中，CyRC 开始探索健康与健身类应用程序的安全性。CyRC 发现，这一类别的另类应用程序需要 38 个或更多权限。一个下载量超过 500 万次的应用程序总共需要 56 个权限，其中 31 个被 Google 归类为“危险防护级”（Protection Level:Dangerous）权限，或是不允许第三方应用程序使用的签名权限。这些权限级别可能表明这是一个开发质量极差的应用程序，开发人员没有完全了解 Android 权限。虽然开发人员可能并非出于恶意，但并不能避免潜在危险和对用户的威胁。不允许第三方应用程序使用的权限包括：工厂测试（工厂测试（Factory Test）“工厂测试”权限允许

37、应用程序以根用户身份运行，从而允许其访问整个电话。所分析的所有其他应用程序中均不包含此权限。此权限还需要“读取日志”，这使应用程序可以读取包含有用户私人信息的系统日志文件。第三方应用程序永远不应使用此类权限。出现此权限问题的原因只有两个：开发人员在设置该应用程序时出错，或者发生了恶意或可疑行为。一旦是开发错误所致，这类关键性权限在黑客入侵时也可能造成极大危害。黑客将拥有对移动设备以及对该应用程序的 500 万用户数据的完全访问权。通话通话特权特权（Call Privileged）“通话特权”权限允许应用程序拨打任何电话号码，包括紧急号码，无需使用电话拨号器或要求电话所有者确认呼叫。这可能会导致

38、昂贵的行为，如拨打国际电话。应用程序没有必要为了追求目标功能而提供此类权限。这似乎又是开发者不了解此类权限级别以及在应用程序中使用此类权限的相关后果所致。处理拨出电话（处理拨出电话（Process Outgoing Calls）“处理拨出电话”权限允许应用程序查看拨出电话中拨打的号码，并带有呼叫重定向选项。健康与健身类应用程序几乎没有任何理由需要这个级别访问。蓝牙特权（蓝牙特权（Bluetooth Privileged）“蓝牙特权”权限允许应用程序在无需任何用户交互的情况下配对蓝牙设备，并允许应用程序访问联系人和消息。这完全是过度的和不必要的访问。|15 总之，该应用程序需要 10 个不允许第

39、三方应用程序使用的权限，该应用程序对具有侵害性且明显不必要的级别的访问请求，表明其安全性很弱，编码实践很差。此类权限中很多都有能够提供类似所需功能但又不会对用户造成侵害的替代方案。此外，用户还应询问健康与健身类应用程序为何需要重定向电话或根用户身份访问权限。虽然在一些最受欢迎的应用中发现了这些令人震惊的案例，但总体数据显示，每类应用程序中都包含有使用问题权限的应用程序。CyRC 并不是确定这些潜在危险权限的意图，只是为了给用户和开发人员敲个警钟。用户需要了解他们为应用程序提供的访问级别，以确保其数据安全性。开发人员需要了解应用程序中包含的权限，并探索潜在危害较小的替代方案。这是确保应用程序安全

40、的关键步骤。总结总结 毫无疑问，此次新冠疫情期间的应用安全状况调查同时引起了关注和疑问。作为开发人员或业务人员，可能会对如何访问和加强自己的应用程序的安全性存在疑问。作为用户，可能会对当前风险的相对水平以及对允许应用程序访问的个人数据量存在疑问。用户必须知道哪些信息可能会在网上泄漏，这一点很重要。当下载应用程序时，如果遇到全新或更新的条件和权限条款，则应考虑加大审查力度。孩子是否需要要求其确切物理位置的应用？或者是否需要访问他们的相机？是否确定需要允许健身应用访问您的电话簿和拨打电话的权限？供应商一般都会满足用户的安全性和私密性要求。开发人员还应知道怎样武装自己和团队，以应对可以避免的安全疏忽

41、和编码错误。Synopsys 的 Black Duck SCA和 Black Duck Binary Analysis 等解决方案可及时通知有关开源漏洞、潜在信息泄漏实例以及移动权限的最新信息。有了这些工具及其提供的信息，便可以采取明智的措施并简化应用程序安全流程。利用强大的能够分析开源、专有和编译后二进制文件并提供实时可行修复建议的 AppSec 解决方案，可以实现并一直确保应用程序及其用户的安全。如想了解有关 Black Duck Binary Analysis 的更多信息，请查看我们的网络研讨会或访问我们的网站。1 Sarah Perez，新冠疫情的爆发导致应用下载量、使用量和消费者支出

42、在第二季度均创下新高（Coronavirus impact sends app downloads,usage,and consumer spending to record highs in Q2），TechCrunch，2020 年 7 月 9 日。2 同上。|16 Synopsys 与众不同与众不同之处之处 Synopsys 帮助开发团队构建安全、高质量的软件，在最大限度降低风险的同时提高速度和生产力。Synopsys 是应用安全领域公认的领导者，提供静态分析、软件组成分析和动态分析解决方案，使开发团队能够快速发现和修复私有代码、开源组件和应用程序行为中的漏洞与缺陷。只有 Synopsy

43、s 能够结合利用业界领先的工具、服务和专业知识，帮助企业在 DevSecOps 和整个软件开发生命周期中优化安全和质量。关于关于 CyRC Synopsys 网络安全研究中心（CyRC）致力于加速访问有关软件漏洞的识别、严重性、利用程序以及缓解和防御措施的信息。为了履行 Synopsys 的远大使命，打造使生活更安全以及更高质量的软件，CyRC 持续不断地发布支持强大网络安全实践的研究成果，以提高人们对安全问题的认识。有关更多信息，请访问 Berry Street,Suite 6500 San Francisco,CA 94107 USA 联系我们：联系我们：美国销售：800.873.8193 国际销售：+1 415.321.5237 电子邮件：sig- 2021 Synopsys,Inc.版权所有，保留所有权利。Synopsys 是 Synopsys,Inc.在美国和其他国家的商标。Synopsys 商标列表可在 中找到。本文提及的所有其他名称均为其各自所有者的商标或注册商标。2021 年 3 月