根据中国互联网络信息中心(CNNIC)的报道,截止2017年6月,我国手机网民规模达7.24亿。网民使用手机上网的比例由2016年底的95.1%提升至96.3%。移动网民的占比持续增加。移动化生活逐步渗透到人们生活中的各个领域,因此移动网民对于移动应用的安全性和安全强度意识的提高,将加速移动应用安全市场的发展。
艾瑞咨询发布了《2017年中国移动应用安全服务行业白皮书》,报告摘要如下:
中国移动应用安全服务行业概况
Android平台的结构及特点:平台整体为层次结构,且各层功能分明
Android移动设备平台的软件层次结构自上而下分别为:应用程序、应用程序框架层、系统运行时的各种类库和Android运行环境层以及Linux内核层。
Android平台的不足:平台架构及运营模式的不足造成移动应用安全遭受威胁
虽然Android平台本身有比较规范的安全机制,如应用层引用签名机制、应用权限控制机制保护程序的安全;内核层通过沙箱机制隔离不同进程的资源,并辅助独特的内存管理机制和进程间通信机制等。但是由于Android本身的开源性等因素,安卓平台在自身架构、架构的安全机制以及平台的运营模式等方面均存在一定的不足,这些问题一旦被攻击者利用,用户的利益将受到侵害。
中国移动应用安全服务行业发展现状
现阶段,权限滥用、逆向分析、二次打包及篡改等是Android平台应用最为常见的攻击类型,一旦发生,会导致用户的隐私等发生泄漏,对用户的切身利益等带来危险。其中逆向分析对移动应用的攻击不但会损害用户的利益,而且可以将核心的算法用于攻击者自己的程序中,侵害攻击者的知识产权。
以加固为核心,检测和监测为主要辅助进行安全防护
由于移动应用安装包本身的结构特性和通过恶意攻击可能获取的利益关系,现阶段移动应用恶意软件泛滥,因此针对移动应用安全防护的服务开始出现。
针对移动应用的防护主要从安全检测、安全加固和安全监测三个方面着手,其中安全检测可以监测出应用可能存在的安全风险,具有安全预防作用;安全加固加固环节是移动应用最为直接有效的安全防护环节,有效预防攻击者的逆向、篡改、调试及窃取等行为;针对安全监测收集的各类应用数据的分析挖掘,可以有效识别有问题的应用,发出预警。
中国移动应用安全服务行业发展格局
当前移动应用安全服务市场的主力军主要包含两方,分别为互联网巨头在移动应用安全方面的布局和深耕移动应用安全的垂直创业企业。其中互联网巨头企业通常与自己的业务结合的更加充分,他们的业务广泛,具有较强的使用场景,如:阿里巴巴、华为等;而垂直类的移动应用安全企业则是随着移动应用安全服务市场的兴起而逐步开始发力参与市场角逐,他们往往面向更多行业,提供更具针对性的解决方案,如:几维安全、梆梆安全等。
中国移动应用安全服务行业发展趋势
人工智能、机器学习逐步趋向成熟,相比于传统的人工检测,安全威胁和漏洞可有效被预测及量化,降低安全风险,提升业务效率。
