Veracode指出，世界级企业在移动市场中安装了约2400个不安全的app。

Veracode分析了成千上万已经投入市场使用的移动应用，包括金融服务、媒体、制造业和通信等各行各业，发现了14000个不安全app：

85%的app暴露了敏感数据，包括SIM卡信息，比如电话地址、通话记录、手机联系人、短信日志、设备ID和载波信息等。

37%的app执行可疑安全行为，比如检查设备正在使用root权限，是否越狱（允许用户使用超级用户操作应用，比如：使用录音通话、禁用反恶意软件、替换固件或者查看银行密码等缓存记录等），安装或卸载应用，录下通话信息或运行其他程序。

t01b465361f37d3368a.jpg

35%的app分享或检索用户个人信息，比如浏览器历史，日历备忘，经常发送敏感信息到可疑的海外地点，并且允许攻击者建立完整的用户设备轮廓、建立社交联系。

Veracode的企业安全策略副总裁Phil Neray告诉Help Net Security(互联网安全保护组织)：”研究结果表明，企业员工的移动设备中经常安装有很多不安全的app。例如，如果一个应用可以访问SIM卡，得到手机地理位置、通话记录、短信日志和设备ID等信息，或者没有明显理由就向可疑的海外地点发送敏感信息，则表明这个应用是不安全的。”

Neray补充道：“攻击者有很多方法利用风险app。例如，这些应用可以通过跟踪员工位置来监视员工，记录他们的通话记录和通话内容，并对他们的社会关系进行轮廓描述得到社会关系概况，从而得到公司的内幕消息，盗取公司的知识产权或获取巨额利益。这些app也可以被用来窃取银行用户的身份凭证或插入攻击性广告。国家可以利用这些应用跟踪知名人士。”

据Gartner称，”截止到2015年，超过75%的移动应用没有通过基本安全测试。”同时，无论是网络攻击者还是国家都在不断地开发不安全应用来窃取企业的知识产权，跟踪知名人士或插入攻击性广告获取巨额利益。

这对企业来说是一个巨大的挑战，企业想要通过允许员工BYOD（Bring Your Own Device携带自己的电子设备）或提供企业自己生产的电子设备，提高产品产量和员工满意度。设计现代MDM(Mobile Device Management 企业IT 向移动互联网过渡) 和企业移动管理（EMM）系统是为了加强对公司移动设备的管理，但是对于全球成千上万的出现在公共应用商店里的不安全的应用，却需要一个自动化、可扩展的机制来保证获取了这些设备的最新信息。

存在一些方法来定位不安全移动应用，比如人工精选黑名单。由于应用的数量太多，并且这些应用在不断的更新，所以很难被发现。因此，这些方法无法消除移动威胁，也无法禁止员工使用这些不安全应用。

本文由 360安全播报 翻译，转载请注明“转自360安全播报”，并附上链接。
原文链接：http://www.net-security.org/secworld.php?id=18075

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)