移動應用程序安全監測檢測平臺研究

摘要：隨著移動互聯網的飛速發展，移動智能終端及運行于各類移動智能終端上的移動應用程序（Mobile Internet Application，App）已全面滲透人們的工作和生活。移動應用爆發式增長帶來了安全漏洞、個人隱私泄露、惡意行為等諸多問題，App的安全監測檢測問題已經引起了社會大眾的普遍關注。本文根據網信部門的監管需求，建設移動App監測檢測平臺，評判是否符合App網絡安全相關標準要求。

關鍵詞：移動應用程序；App；惡意行為；監測檢測

隨著移動互聯網的飛速發展，移動智能終端及運行于各類移動智能終端上的移動應用程序（Mobile Internet Application，App）已全面滲透人們的工作和生活[1]。移動應用爆發式增長帶來了安全漏洞、個人隱私、惡意行為等諸多問題，App的安全監測檢測問題已經引起了社會大眾的普遍關注[2]。

本文根據網信部門的監管需求，根據《移動互聯網惡意程序描述格式》《電信和互聯網用戶個人信息保護規定》《移動應用軟件安全評估方法》《移動應用軟件安全評估方法》[3]，研究App應用程序客戶端源代碼是否存在惡意行為、收集用戶信息行為是否合理、調用系統權限是否合理等方面進行安全檢測和評估，建設移動App監測檢測平臺，評判是否符合App網絡安全相關標準要求[4]。

一、研究目標

①滿足全省App治理工作要求：對全省App資產進行測繪，全面掌握省內App基礎信息。通過App數據上墻，掛圖作戰、網格化管理等方式，實現App治理執法的快速落地。

②搭建能力平臺，場景驅動App治理落地：打造新一代App能力平臺，面向App安全風險評估、App惡意軟件檢測、App違法違規檢測、App漏洞態勢等業務場景落地App治理工作，幫助監管單位掌控當前市場上某類、行業、地區的移動應用安全狀況。

③對外開放賦能：App安全檢測、安全加固等平臺基礎能力對外開放；借助平臺聚合第三方的數據，建設統一的App信息情報庫，對外提供情報共享服務，以業務和情報為驅動，構建快速、標準的App安全服務。以平臺建設為契機，引導支撐單位積極參與平臺運營，推進、完善監管單位技術支撐體系建設。

二、技術研究

通過采用移動互聯網應用特征檢測技術、靜態API檢測技術、動態沙箱檢測技術等技術手段，構建App安全分析研判引擎中臺，對搜集到的App進行安全風險評估、惡意軟件檢測、違法違規檢測等綜合安全檢測，支撐網信辦和通管局持續開展App侵害用戶權益的整治行動，包括安全檢查、上架評估等。

（一）App靜態行為掃描引擎

通過不斷積累敏感API特征和函數，以逆向工程為基礎，將手機平臺文件未公開結構進行代碼還原。所謂逆向分析技術指對移動應用進行逆向分析，包括對語法、代碼進行分析，破解應用的源代碼，調整源代碼的邏輯，輸出相關日志數據，獲取App程序通信、行為特征，挖掘和發現App的漏洞、代碼風險等問題。

（二）基于廣譜特征的掃描引擎

建立多維度的特征掃描機制，搭配一個強大的惡意軟件特征知識庫。通過對智能終端應用軟件的全量解析，對惡意軟件多態特征進行快速定位。引擎目前累計廣譜特征4700萬，特征范圍包括了代碼執行序列、簽名、類、字符串、自定義的特征，保證了傳統檢測方式的準確性、覆蓋性，同時有專業的分析團隊每天對檢測特征進行維護，保證了特征更新的及時性。

（三）基于組合式特征啟發式檢測引擎

組合式特征啟發式檢測，主要是通過根據App API函數調用信息、API調用參數、API調用序列等為基礎，結合權限申請情況、常見惡意程序的行為特征，對待檢測樣本進行惡意行為模式的檢測，可以有效檢測出未知樣本中的高風險樣本。

（四）基于AI的惡意程序檢測引擎

當前的惡意App分析方式主要是依賴靜態、動態沙箱提取已有樣本的代碼和行為特征，依據經驗確定識別規則，規則的有效性缺乏論證。先驗規則只能檢測特征庫已收錄的惡意程序，無法識別未知的惡意樣本，因此使用機器學習和深度學習有助于海量Android應用程序的自動化識別，有助于發現現有App檢測引擎無法識別的未知惡意App。

（五）動態沙箱檢測引擎

沙箱技術的本質是利用軟件的環境模擬真實終端硬件環境來運行目標程序，關鍵技術在于如何更真實地模擬程序的運行環境，讓其盡可能地展現自身行為，并能夠通過技術手段控制其目標行為，達到一種在虛擬環境中動態控制目標行為的目的。當前可引入最新的沙箱技術，目前在基于定制的rom中進行動態行為檢測：定制rom沙箱系統通過對Android核心源碼的修改，分別在Framework、Libraries、Runtime、Linux kernel 層加入檢測代碼，編譯成完整的系統固件，實現了具有行為檢測功能的原生系統。由于所有功能已編譯在系統固件中，不需要后期注入，所以在沙箱的穩定性和效率方面有了很大的提高。同時通過對不同層級的代碼修改，實現了更加廣泛的檢測點覆蓋。

（六）加固App檢測引擎

加固App檢測主要流程為靜態引擎檢測App是否進行加固，之后通過脫殼沙箱加固App進行脫殼，并將提取的dex文件反饋給靜態引擎進行惡意程序檢測、數據鉆取、漏洞檢測等。

三、研究成果

（一） App基礎信息管理系統

App資產測繪支持App樣本的手動上傳，支持采用App爬蟲技術自動對全國400多個移動應用商店進行App樣本爬取資產測繪，可實現采集任務的定時控制。App應用爬取數量為每天8000個。通過資產測繪，全面掌握省內App基礎信息，包括：App信息、應用商店信息、開發者信息、備案企業信息、備案App信息、通聯地址信息等。進行App研判，發現App所屬區域、所在行業、App開發商、是否違法違規、是否存在漏洞等信息。

（二）App備案管理系統

與App備案系統對接，接收App備案信息，對App樣本打上備案標簽，以及備案信息統計分析、展示等功能。

（三）App基礎信息展示

對獲取到的App信息進行集中管理，展示應用基本信息包括：應用名稱、應用報名、開發者、證書SHA1、MD5、應用大小、版本、所屬應用商店、入庫時間，并支持多維度的檢索。

（四） App外部研判信息同步

支持通過接口方式，從平臺的App安全全景態勢系統，每天自動同步歸屬地的App樣本的分析結果。

實現App基礎信息態勢統計展示，包括App行業分布Top5、各地市App分布、應用商店異常App分布、App監測情況、最新App展示、樣本元數據占比統計、App趨勢。

（五）App安全風險評估

針對省內App，根據《移動互聯網惡意程序描述格式》《電信和互聯網用戶個人信息保護規定》《移動應用軟件安全評估方法》和《移動應用軟件安全評估方法》，對App應用程序客戶端源代碼是否存在惡意行為、收集用戶信息行為是否合理、調用系統權限是否合理等方面進行安全檢測和評估，評判是否符合移動應用程序（App）網絡安全相關標準要求。移動應用程序通過從程序代碼安全、組件安全、通信安全、數據存儲安全、內部數據交互安全、業務交互安全、安全策略和漏洞檢測八大方面，對待檢測的App進行安全風險評估，評估其抵御敏感信息泄露、抵御惡意程序入侵和抵御被黑客惡意利用的安全能力。

（六）App惡意軟件檢測

針對省內App，依據YDT 2439-2012《移動互聯網惡意代碼描述規范》，主要是通過傳統基于廣譜特征的靜態檢測結合AI的方式進行全方位安全檢測。

首先，通過傳統基于廣譜特征的檢測引擎從代碼執行序列、簽名、類、字符串、自定義的特征對惡意程序進行基礎研判。 其次，通過組合特征的啟發式檢測引擎，對高疑似惡意程序樣本進行篩選、研判；同時結合基于AI引擎的機器學習檢測，對未知App樣本進行惡意行為檢測。實現對App惡意程序態勢統計，包括App危險類型占比、惡意App行業分布Top5、惡意App應用商店分布TopN、惡意App監測情況、最新惡意App數據展示、惡意App類型家族Top10、惡意App趨勢。

（七）App違法違規檢測

針對省內App，依據《原生安卓系統收集個人信息相關權限》《移動互聯網應用基本業務功能必要信息規范》《App違法違規收集使用個人信息行為認定方法》[5]，通過定制化rom動態沙箱、靜態行為掃描引擎結合語義分析子引擎對App進行全方位的檢測，主要檢測項包括，“未公開收集使用規則”“未明示收集使用個人信息的目的、方式和范圍”“未經用戶同意收集使用個人信息”“違反必要原則，收集與其提供的服務無關的個人信息”“未經同意向他人提供個人信息”“按法律規定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”[6]。實現包括違法違規App行業分布、外聯服務器歸屬地Top10、違法違規App趨勢、違法違規App風險監測、最新違法違規App數據、風險App數量、SDK類型Top5，收集用戶信息SDK統計[7]。

（八）App漏洞態勢

實現省內App漏洞態勢統計展現，包括App漏洞行業分布Top5、各地市App漏洞分布、App漏洞趨勢、App漏洞監測情況、最新App漏洞展示、漏洞AppTop5、安全風險類型統計、漏洞App趨勢。對于存在重大安全漏洞的App，相關主管部門會責令廠家進行整改或關停，整改完成，版本更新、檢測通過之后，才能在應用商店恢復上架[8]。

四、平臺性能參數

靜態引擎：單臺App研判-靜態引擎服務器，每天20000個App樣本靜態研判能力，即每分鐘平均13.9個App樣本靜態研判的能力。

動態引擎：單臺App研判-動態引擎服務器，每天4000個App樣本動態研判能力，即每分鐘平均2.8個App樣本動態研判的能力。

五、結束語

國家計算機網絡應急技術處理協調中心及其各省分中心，是中央網信辦下屬事業單位，承擔了服務和支撐網信部門做好監管工作的職能。本文從網信部門監管需求出發，研究了相關標準和關鍵技術，建設了移動App監測檢測平臺，評判是否符合App網絡安全相關標準要求。支持第三方數據共享、第三方引擎協同，通過與平臺自身App資產測繪、App備案管理、App樣本獲取、App研判分析、App態勢感知平臺模塊打通，充分發揮平臺對于移動App監測檢測管理功能。

作者單位：季瑩瑩 國家計算機網絡應急技術處理協調中心浙江分中心

王月領 國家計算機網絡應急技術處理協調中心安徽分中心

虞成磊 杭州電子科技大學

左苗 國家計算機網絡應急技術處理協調中心安徽分中心

參" 考" 文" 獻

[1]魏昂，李東格，呂堯.基于APP的個人隱私安全保護研究[J].網絡空間安全，2019（08）：31-35.

[2]劉彥，陳建民.2019年10月違法有害惡意APP情況報告[J].網絡空間安全，2019（12）：94.

[3]王智勇，劉楊鉞.從“隔屏有耳”看APP越界與信息安全[J].信息安全，2020（01）：57-58.

[4]于世梁.APP收集使用個人信息亂象及其治理[J].湖北行政學院學報，2019（05）：33-37.

[5]全國信息安全標準化技術委員會.《信息安全技術 移動互聯網應用程序（APP）收集個人信息基本要求》（GB/T 41391-2022）

[6]全國信息安全標準化技術委員會.《信息安全技術 個人信息安全規范》（GB/T 35273-2020）

[7]全國信息安全標準化技術委員會.《信息安全技術移動智能終端個人信息保護技術要求》（GB/T34978-2017）

[8]中國通信標準化協會.《移動智能終端上的個人信息保護技術要求》（YDA3082-2016）