2019-2020健康医疗行业移动App安全观测分析报告.docx

2019-2020健康医疗行业移动 App安全观测 分析 报告前 言 坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党 的十九大会议精神，为促进 “ 互联网 +医疗健康 ”安全发展，支撑健康 医疗大数据的服务安全管理，根据中华人民共和国网络安全法 全 国人民代表大会常务委员会关于加强网络信息保护的决定等法律法 规和健康中国行动（ 2019-2030 年 ） 国务院办公厅关于促进 “ 互联网 +医疗健康 ” 发展的意见国务院办公厅关于促进和规范健康 医疗大数据发展行动纲要国务院办公厅关于促进和规范健康医疗 大数据应用发展的指导意见信息安全技术 个人信息安全规范 国家健康医疗大数据标准、安全和服务管理办法 （试行 ） 等标准 规范与文件精神，中国信息通信研究院 （ 以下简称：中国信通院 ） 在 有关领导部门的指导下，联合卫生信息安全与新技术应用专业委员会 （ 以下简称：专委会 ） 和中国医院协会信息管理专业委员会 （以下简 称： CHIMA） 等相关单位，聚焦于健康医疗行业 App，梳理健康医疗行业 App 的安全现状，探究健康医疗行业 App 的网络安全问 题，总结形成本观测报告。 本次观测行动集中观测了健康医疗行业中基于安卓系统的移动应用，共涉及 106 个安卓应用市场的 8350 个 App。经过持续数月的观测，本报告研究团队综合运用大数据、漏洞扫描、病毒检测、抽样 研究等技术和研究手段，全方位、多维度地梳理了健康医疗行业 App 的网络安全现状。研究发现，健康医疗行业 App 安全风险的集中体现 在以下四个方面， 一是 安全漏洞风险居高， 二是 恶意程序危害严重， 三是 第三方 SDK 引入风险， 四是 安全加固比例偏低。 本报告旨在通过对健康医疗行业的移动 App 的网络安全现状进行观测与风险分析，提出健康医疗行业移动 App 安全工作的思路与建议，通过与各单位的协同联动，促进健康医疗行业 App 的网络安全生态体系建立，支撑保障互联网医疗的安全发展。限于时间和能力所 限，内容疏漏在所难免，烦请各界不吝指正。 目 录 一、健康医疗行业 App 观测背景 . 1 （一）移动应用安全的政策背景 . 1 （二）健康医疗行业 App 的安全现状 . 2 二、健康医疗行业 App 观测结果 . 4 （一）观测对象分布情况 . 4 （二）观测对象风险集中表现 . 5 三、健康医疗行业 App 的安全风险分析 . 7 （一）安全漏洞风险居高 . 7 （二）恶意程序危害严重 . 8 （三）第三方 SDK 引入风险 . 11 （四）安全加固比例偏低 . 14 四、健康医疗行业 App 的安全 工作思路 . 16 附录 A 健康医疗行业 App 地域分布表 . 18 附录 B 存在恶意程序的 App 详情 . 19 附录 C App 恶意程序类型解释 . 24 一、健康医疗行业 App 观测背景 （一）移动应用安全的政策背景 自十八大以来，党中央和国务院高度重视网络安全。习近平总书 记指出，没有网络安全就没有国家安全，将网络安全提升到国家战略 高度。随着移动互联网的快速发展，移动互联网安全在整体网络安全 中的重要性愈加突出，而移动互联网安全的重中之重就是移动 App 的网络安全。 2019 年 1 月 25 日，中央网信办、工业和信息化部、公安部、市 场监督总局四部门联合发布关于开展 App 违法违规收集使用个人 信息专项治理的公告，成立 App 专项治理工作组在全国范围内组织 开展 App 违法违规收集使用个人信息专项治理行动。 3 月 1 日， App 专项治理工作组发布了 App 违法违规收集使用个人信息自评估指南 （以下简称：自评估指南），指导各相关单位进行自查整改。 3 月 15 日市场监管总局、中央网信办正式对外发布公告，将依据移动互联网应用程序（ App） 安全认证实施规则开展 App 安全认证工作。 5 月 5 日， App 专项治理工作组起草了 App 违法违规收集使用个人信息行为认定方法 （征求意见稿 ） （ 以下简称认定方法 ） ，并 在其官网和公众号公开，向社会各界公开征求意见，认定方法明 确界定了 App 收集使用个人信息方面的违法违规行为，为 App 运营 者自查自纠提供指引，为 App 评估和处置提供参考。 7 月 1 日，工业 和信息化部印发电信和互联网行业提升网络数据安全保护能力专项 行动方案，强调为深化 App 违法违规专项治理，将持续推进 App 违 法违规采集使用个人信息专项治理行动。 8 月 8 日，为落实中华人民共和国网络安全法 （ 以下简称网络安全法 ） 对个人信息保护 的相关要求的同时，加快相应标准化工作，全国信息安全标准化技术 委员会秘书处颁布信息安全技术 移动互联网应用 （ App） 收集个人信息基本规范（草案），向社会公开征求意见。 App 相关法律法规的密集颁布和出台，体现了政府对于保障 App 网络安全的重视和治理 App 网络安全的决心，也反映出当前移动 App 安全面临着严峻的形势。 （二） 健康医疗行业 App 的安全现状 近年来，随着智能手机和移动互联网的快速发展，移动 App 已经深入应用到大众生活的方方面面。随着 “ 互联网 +医疗健康 ” 工作深入推进，越来越多的行业主管部门、健康医疗机构、医疗服务提供商 和行业从业者通过移动 App 提供服务。然而，移动 App 在给大众生 活带来巨大便利的同时，也给大众带来了相应的安全隐患。移动 App 网络安全相关的法律法规和标准规范体系不完善，给不法分子带来可 乘之机；安卓第三方应用商店繁多， App 上线审核不规范，管理不严 格情况时有发生；健康医疗 App 开发者安全意识薄弱，技术手段落 后，开发流程不规范，更新修复不及时等问题严重； App 的用户缺乏 安全意识，不良的 App 使用习惯带来安全隐患。据 2018 年中国互联网网络安全报告显示， 2013-2018 年，移动互联网恶意程序样本 数量持续高速增长，仅 2018 年由国家互联网应急 中心捕获及通过厂 商交换获得的移动互联网恶意程序样本数量已达到 282.97 万个，同 比增长 11.7%。由此可见，健康医疗行业 App 面临的网络安全形势日趋严峻， App 网络安全管理亟待加强。 为了进一步贯彻落实习近平总书记网络强国战略思想，促进 “ 互 联网 +医疗健康 ”安全发展，为健康医疗相关行业主管部门、行业从业 者和信息安全厂商提供决策依据，由中国信通院安全研究所牵头，专 委会、CHIMA 等相关单位参与，对基于安卓系统的健康医疗行业 App 的网络安全现状进行观测，形成本观测报告。 二、健康医疗行业 App 观测结果 （一）观测对象分布情况 截止 2019 年 10 月 1 日，报告团队从 106 个安卓应用市场共收录了 8350 款健康医疗类 App 作为观测对象。 从观测对象的地域分布来看，有 8181 款 App 能明确归属省份， 覆盖了全国除港、澳以外所有的 32 个省级行政区 （ 健康医疗行业 App 地域分布参加附录 A）， 平均每个省级行政区生成健康医疗行业 App 约 255.7 款。健康医疗行业 App 生成地域分布不均，如图 1 所示，北京、广东的产量破千，而西藏、青海等省份产量仅为个位数。 图 1 健康医疗行业 App 地域分布情况 同时，研究团队将本次观测的健康医疗行业 App 进行了分类，主要包含互联网医疗类、医疗机构类、健康管理类、运动健身类、医美 类、药品器械类、母婴类等类别。 互联网医疗类：主要是互联网公司与传统医疗信息服务融合的 App，提供各类线上医疗服务，如平安好医生等。 医疗机构类：主要是各类医院的官方 App，提供医院信息展示和各类便民服务，如北京协和医院官方 App 等。 健康管理类：主要是健康管理相关信息、工具、服务平台，如大 姨妈等。 从观测对象的类型分布来看，互联网医疗类 App 以 30.38%的高占比排名第一。其次是医疗机构类 App，占比 24.44%。排名第三的是健康管理类 App，占比 17.10%。其他 App 集中在健康医疗行业核心的几个垂直子行业，包括运动健身类、医美类、药品器械类和母婴类 等 App 总占比约为 30%。具体数据如图 2 所示。 母婴 , 432, 5.17% 药品器械 , 557, 6.67% 医美 , 645, 7.72% 运劢健身 , 710, 8.50% 健康管理 , 1428, 17.10% 互联网医疗 , 2537, 30.38% 医疗机构 , 2041, 24.44% 图 2 健康医疗行业 App 分类分布情况 （二）观测对象风险集中表现 1. 以仿冒 App 为代表的高危漏洞风险 在本次观测中，发现有 88.83%的健康医疗行业 App 存在高危漏 洞，攻击者可利用这些漏洞进行 App 仿冒、植入恶意程序、窃取用户敏感信息、攻击服务等，对 App 安全具有严重威胁。其中存在被仿冒安全风险的 App 占比最高，约为 72.91%。 2. 以流氓行为代表的恶意程序感染风险 本次观测发现，共有 72 款健康医疗行业 App 被检测出恶意程序， 感染率为 0.86%，主要涉及的恶意行为包括流氓行为、资费消耗、信息窃取、远程控制、恶意扣费等多种恶意行为，给 App 用户的个人隐 私及财产安全带来危害。其中受到流氓行为恶意程序感染 的 App 占 比最多，约为 79.17%。 3. 使用第三方 SDK 引入安全风险 本次观测发现，共有 25.58%的健康医疗行业 App 被嵌入了第三方 SDK，嵌入的 SDK 数量共计高达 5282 个。在嵌入 SDK 的健康医疗行业 App 中，有 40%的 App 嵌入了 5 个及以上的 SDK。由于第三方 SDK 存在用户信息隐蔽收集、自身安全漏洞易被不法分子利用等安全风险，使得健康医疗行业 App 也面临一定的安全隐患。 4. 安全加固不足暴露安全风险 本次观测发现，仅有 24.83%的健康医疗行业 App 进行了安全加固，超过四分之三的健康医疗行业 App 在应用市场 “ 裸奔 ” ，未进行任何的安全加固。然而，基于 Java 语言编写的安卓应用程序如不进行加固，则其打包的 APK 文件很容易被反编译工具进行逆向分析， 进而暴露风险。