新京报讯(记者 罗亦丹)6月11至12日,2019腾讯安全国际技术峰会在上海举办。会上,腾讯科恩实验室发布了《安卓应用安全白皮书》,白皮书选取2018年下载量较高的1404个APP为样本检测发现,98%的安卓应用存在安全风险,而92%安卓应用过度获取核心隐私权限。
《白皮书》内容显示,安卓系统到2018年已经有10年的历史,系统进驻超过20多亿台设备。但2012年到2018年,安卓平台的恶意程序数量增长迅猛。截至2018年第三季度末,GDATA统计数据显示在安卓系统发现超过320万个新的恶意样本,平均每天发现超过11000个新的恶意软件样本。
国家互联网应急中心曾发文称,我国移动互联网安全亟待加强。2017年,通过国家互联网应急中心自主捕获和厂商交换获得的移动互联网恶意程序数量达253万余个,同比增长23.4%。其中,排名前三的恶意程序类型分别为流氓行为类、恶意扣费类和资费消耗类。
在此背景下,腾讯安全科恩实验室通过其研发的安卓应用自动化漏洞扫描系统ApkPecker,选取了14个应用市场分类中下载量前100名左右的APP,共计1404个检测样本。检测结果显示,这1404个样本中,有1381个APP存在安全问题,这意味着,98%的安卓应用存在安全风险。
《白皮书》显示,安全风险数量排名前三的应用类型是影音播放、通讯社交、网上购物。这三类应用类型用户黏性强,平均应用使用时长也位列前三。相比较而言,通讯社交、网上购物、影音播放这几类应用产品功能多、交互方式丰富,一旦有安全漏洞被不法分子利用,影响的用户群体数量大、范围广,造成的损失会较严重。
此外,科恩实验室还对APP的隐私权限获取进行了测试,测试结果发现,在1404个样本中,1292个APP存在过度收集核心隐私权限的问题,这意味着92%的安卓应用过度获取核心隐私权限,其中,294款APP隐私条款内容不达标,998款APP没有隐私条款。
新京报记者发现,上述APP过度收集或使用的隐私数据主要包括位置信息、通讯录信息、手机号码等个人信息。《白皮书》报告称,其中共计165款App涉嫌过度收集了位置信息。分别有113款、104款、17款APP涉嫌过度收集或使用短信、手机号码、身份信息。