近10年來，移動設備在消費領域乃至此后企業領域的擴展，從速度和數量來看都是相當驚人的。早在2014年，ANDREESSEN HOROWITZ分析師Benedict Evans就說：“移動正在啃噬這個世界（Mobile is Eating the World）?！边@從來就不是夸張，全球范圍內移動設備的數量早就在多年前超越了世界人口總和。從2007年蘋果推出初代iPhone革新智能手機至今短短10年，移動行業的市場規模都在急速增長。

　　Statista的數據顯示，2016年全球范圍內智能手機的出貨量約在15億臺左右，預計到2020年這個數字會增加到17.1億；到2018年，全球手機用戶總數將達到25.3億人次——其中1/4都來自中國。僅2016年中國智能手機市場規模都已經超過1335億美元。

　　與許多技術由上至下，從企業到消費市場的發展方式不同，移動技術始于消費用戶領域。這就一定程度意味著移動設備和軟件前期對于安全的不重視，安全在移動領域的起步相較桌面和其他傳統領域也明顯更晚。

　　FreeBuf研究院在中國泰爾實驗室的指導下，輔以漏洞盒子、啟明星辰和中國信息通信研究院安全研究所的數據與內容支持，從第三方移動App安全及信息泄露的角度共同撰寫了這份《2017年度移動App安全漏洞與數據泄露現狀報告》。

　　在數據研究和分析過程中，我們選擇了金融、購物、醫療、社交、游戲、娛樂、交通與出行、生活服務等八個分類的892款Android平臺的流行App作為樣本，借由啟明星辰的應用自動化安全測試平臺，來發現移動App存在安全風險與漏洞。與此同時，我們以企業組織的移動App開發者、項目管理人員和安全專家為對象，下發近200份問卷，嘗試解讀造成移動App安全漏洞和問題的根源——企業對象涵蓋大中小不同規模；另外也針對移動App普通用戶下發近300份問卷，了解應用安全在普通用戶中的需求和位置。

　　這份報告旨在從移動App安全漏洞和數據泄露的角度來窺見移動App的安全現狀，以及移動領域的開發者和安全專家在App安全開發方面的不足，并期望以此幫助開發者和安全專家，以及項目管理人員在進行相關App安全決策時給出參考和指引。

　　值得一提的是，雖然這份報告并不專注于企業級App的安全問題可能對企業安全造成的危害，而更多將注意力集中在消費類移動App的漏洞、數據泄露、仿冒等安全風險的層面，但BYOD工作方式也能夠讓這類移動App對企業安全造成影響；且報告對于企業級App開發亦有一定的參考價值。

　　在《中華人民共和國網絡安全法》于6月1日起開始施行的當下，相關移動App開發與安全的企業組織有義務“防止網絡數據泄露或被竊取、篡改”。無論從安全問題造成的用戶和企業直接損失，挽救企業信譽的角度，還是按照相應規范進行App開發、遵守《網絡安全法》的角度來看，移動App漏洞、數據泄露和其他安全問題都應該成為企業組織、開發者和安全專家重視的問題。

　　報告Key Findings

　　? 過往10年移動App在數量和規模上的爆發，為攻防雙方開辟了新戰場；

　　? 移動App更出色的安全性可以成為吸引和留住用戶的差異化競爭要素；

　　? 用戶對于移動App安全普遍更為樂觀，而開發者則恰好相反；

　　? 65%接受測試的移動App至少存在1個高危漏洞，平均每個App就有7.32個漏洞；

　　? 娛樂類移動App成安全漏洞重災區，每10個娛樂類移動App就有9個至少包含一個高危漏洞；

　　? 社交類App被仿冒的幾率相較其它類別平均高出10倍以上，僅社交類App被仿冒占比達到測試中所有仿冒移動App的近六成；

　　? 多達88%的金融類App都存在內存敏感數據泄露問題；

　　? 移動App安全問題的主要原因在于開發和安全的分化：69%的開發者認為安全是其他人的工作；

　　? 在開發者看來，強制合規仍是移動App安全的最大驅動力，這或為造成當前移動App安全問題的一大原因。

　　2007年Android系統出現至今，移動App安全走過了幾個時代。2012-2014年間，安全加固服務開始嶄露頭角。不過彼時的安全加固只解決了客戶端和代碼安全問題，對隱私、業務、通信安全而言并沒有很大的幫助；到2015年開始有了移動App安全檢測服務，這個階段的安全加固引入了自動化審計，對通信安全有了一定的幫助，但隱私安全和業務安全也依舊是問題。

　　就安全部分，移動App安全加固現如今的發展階段引入了“安全生態鏈”，所以順勢出現了融入到整個App開發上線周期鏈中的全套安全服務。這個生態鏈包含了安全SDK組件、安全編譯器、安全檢測與風險評估、安全加固、渠道檢測和智能云更新。該生態鏈對行業而言是有價值的。如報告中提到的內存敏感數據即貫穿移動應用產品的整個生命周期，僅僅采取單一的App加固解決方案并不能完全杜絕敏感信息泄露問題。

　　這個“生態鏈”的本質在于將安全融入到開發周期中，試圖解決開發和安全分割的現狀。不過，這仍是需要開發團隊或項目管理人員，以及配套的安全專家真正建立起足夠的安全意識并跨出一步，做出配合方能見效的。

　　本次報告從移動App安全漏洞、App仿冒、數據泄露等安全問題入手，以統計和測試數據為依托，對這些安全問題的現狀進行解讀和分析，期望從Android平臺移動消費類App客戶端安全問題的角度，對移動安全進行管中窺豹，并讓所有讀者了解移動App安全問題的緊迫性。

責任編輯：韓希宇