近10年来，移动设备在消费领域乃至此后企业领域的扩展，从速度和数量来看都是相当惊人的。早在2014年，ANDREESSEN HOROWITZ分析师Benedict Evans就说：“移动正在啃噬这个世界（Mobile is Eating the World）。”这从来就不是夸张，全球范围内移动设备的数量早就在多年前超越了世界人口总和。从2007年苹果推出初代iPhone革新智能手机至今短短10年，移动行业的市场规模都在急速增长。

　　Statista的数据显示，2016年全球范围内智能手机的出货量约在15亿台左右，预计到2020年这个数字会增加到17.1亿；到2018年，全球手机用户总数将达到25.3亿人次——其中1/4都来自中国。仅2016年中国智能手机市场规模都已经超过1335亿美元。

　　与许多技术由上至下，从企业到消费市场的发展方式不同，移动技术始于消费用户领域。这就一定程度意味着移动设备和软件前期对于安全的不重视，安全在移动领域的起步相较桌面和其他传统领域也明显更晚。

　　FreeBuf研究院在中国泰尔实验室的指导下，辅以漏洞盒子、启明星辰和中国信息通信研究院安全研究所的数据与内容支持，从第三方移动App安全及信息泄露的角度共同撰写了这份《2017年度移动App安全漏洞与数据泄露现状报告》。

　　在数据研究和分析过程中，我们选择了金融、购物、医疗、社交、游戏、娱乐、交通与出行、生活服务等八个分类的892款Android平台的流行App作为样本，借由启明星辰的应用自动化安全测试平台，来发现移动App存在安全风险与漏洞。与此同时，我们以企业组织的移动App开发者、项目管理人员和安全专家为对象，下发近200份问卷，尝试解读造成移动App安全漏洞和问题的根源——企业对象涵盖大中小不同规模；另外也针对移动App普通用户下发近300份问卷，了解应用安全在普通用户中的需求和位置。

　　这份报告旨在从移动App安全漏洞和数据泄露的角度来窥见移动App的安全现状，以及移动领域的开发者和安全专家在App安全开发方面的不足，并期望以此帮助开发者和安全专家，以及项目管理人员在进行相关App安全决策时给出参考和指引。

　　值得一提的是，虽然这份报告并不专注于企业级App的安全问题可能对企业安全造成的危害，而更多将注意力集中在消费类移动App的漏洞、数据泄露、仿冒等安全风险的层面，但BYOD工作方式也能够让这类移动App对企业安全造成影响；且报告对于企业级App开发亦有一定的参考价值。

　　在《中华人民共和国网络安全法》于6月1日起开始施行的当下，相关移动App开发与安全的企业组织有义务“防止网络数据泄露或被窃取、篡改”。无论从安全问题造成的用户和企业直接损失，挽救企业信誉的角度，还是按照相应规范进行App开发、遵守《网络安全法》的角度来看，移动App漏洞、数据泄露和其他安全问题都应该成为企业组织、开发者和安全专家重视的问题。

　　报告Key Findings

　　• 过往10年移动App在数量和规模上的爆发，为攻防双方开辟了新战场；

　　• 移动App更出色的安全性可以成为吸引和留住用户的差异化竞争要素；

　　• 用户对于移动App安全普遍更为乐观，而开发者则恰好相反；

　　• 65%接受测试的移动App至少存在1个高危漏洞，平均每个App就有7.32个漏洞；

　　• 娱乐类移动App成安全漏洞重灾区，每10个娱乐类移动App就有9个至少包含一个高危漏洞；

　　• 社交类App被仿冒的几率相较其它类别平均高出10倍以上，仅社交类App被仿冒占比达到测试中所有仿冒移动App的近六成；

　　• 多达88%的金融类App都存在内存敏感数据泄露问题；

　　• 移动App安全问题的主要原因在于开发和安全的分化：69%的开发者认为安全是其他人的工作；

　　• 在开发者看来，强制合规仍是移动App安全的最大驱动力，这或为造成当前移动App安全问题的一大原因。

　　2007年Android系统出现至今，移动App安全走过了几个时代。2012-2014年间，安全加固服务开始崭露头角。不过彼时的安全加固只解决了客户端和代码安全问题，对隐私、业务、通信安全而言并没有很大的帮助；到2015年开始有了移动App安全检测服务，这个阶段的安全加固引入了自动化审计，对通信安全有了一定的帮助，但隐私安全和业务安全也依旧是问题。

　　就安全部分，移动App安全加固现如今的发展阶段引入了“安全生态链”，所以顺势出现了融入到整个App开发上线周期链中的全套安全服务。这个生态链包含了安全SDK组件、安全编译器、安全检测与风险评估、安全加固、渠道检测和智能云更新。该生态链对行业而言是有价值的。如报告中提到的内存敏感数据即贯穿移动应用产品的整个生命周期，仅仅采取单一的App加固解决方案并不能完全杜绝敏感信息泄露问题。

　　这个“生态链”的本质在于将安全融入到开发周期中，试图解决开发和安全分割的现状。不过，这仍是需要开发团队或项目管理人员，以及配套的安全专家真正建立起足够的安全意识并跨出一步，做出配合方能见效的。

　　本次报告从移动App安全漏洞、App仿冒、数据泄露等安全问题入手，以统计和测试数据为依托，对这些安全问题的现状进行解读和分析，期望从Android平台移动消费类App客户端安全问题的角度，对移动安全进行管中窥豹，并让所有读者了解移动App安全问题的紧迫性。

责任编辑：韩希宇