由于通信网络的不断完善、智能终端的快速普及以及通信资费的数次下调,我国移动互联网应用软件产业发展迅猛,应用软件开发企业及开发者快速增长。根据中国互联网信息中心CNNIC发布的第32次调查报告,截至2013年6月底,我国网民规模达5.91亿,其中手机网民规模达4.64亿,网民中使用手机上网的人群占比提升至78.5%。手机游戏、手机支付、移动商务等丰富多彩的应用软件,不仅密切了移动互联网与公众生活的联系,也在不断地改变我们的生产和生活方式。
移动互联网安全问题凸现
不过,我国移动互联网产业在快速发展的同时,相应的问题也在不断凸现。国家网络信息安全技术研究所发布的《2013年第一季度中国移动互联网应用安全检测与分析报告》显示,他们所抽查的173586个应用样本中共发现2221个恶意应用,恶意应用占比13‰,同比上一季度增长36.8%;根据可疑行为判定规则对177157个移动应用样本进行可疑行为检测,发现近半数Android应用具有可疑行为。
究其根源,Android应用市场的发展乱象主要源于三个方面的原因:首先,由于开发门槛较低,导致大量中小企业和个人开发者涌入,应用软件的开发质量参差不齐,再加上缺乏权威的第三方测评机构,导致终端用户难以甄别优劣;其次,由于安卓应用容易被修改的特性,大量应用软件被破解和篡改,涌现出各种夹带病毒木马、广告吸费、后门遥控、隐私窃取等恶意代码的第三方版本;最后,安卓应用软件的下载渠道较为混乱,部分渠道甚至依靠恶意应用为生,致使安卓平台客观上成为恶意软件的温床。这不仅损害了开发者的合法利益,更带来了用户隐私信息泄露、个人财产损失等各种问题,而且严重影响了产业的健康发展。
中国移动互联网可信应用平台应运而生
在此背景下,中国软件评测中心作为国内成立最早、规模最大的专业第三方软件测评机构,针对我国移动互联网产业应用软件质量参差不齐、破解篡改现象普遍、分销渠道混乱等问题,搭建了中国移动互联网可信应用平台。该平台能够提供安全检测、安全评估、安全加固、渠道监测等覆盖App应用全生命周期的安全保障服务。目前,中国移动互联网可信应用平台已面向市场提供服务。
该平台采用自主研发的“云”+“端”测试、二进制代码“动态”+“静态”检测、防逆向保护等技术,提供安全检测、安全评估、安全加固、渠道监测等安全增值服务,致力于消除移动应用自身存在的安全隐患、遏制上线后的篡改率、降低运行时的安全风险、保障开发者的合法权益、引导建立健康的产业发展环境。
其中,安全检测服务主要是对用户提交的应用安装包进行病毒查杀、静态动态监测以及人工分析,查找定位应用中存在的恶意行为特征和安全隐患,从传播渠道的源头阻止恶意软件的传播;安全评估服务主要是对用户提交的应用,从程序安全、数据安全、业务安全、系统环境安全等4个方面的39项指标进行深度安全分析评估,发现应用代码逻辑特有的安全漏洞和安全风险,消除移动应用自身存在的安全隐患;安全加固服务主要是利用四重防护技术增强应用的安全性,有效抵御反编译、篡改、动态调试以及隐私数据窃取等恶意行为,降低应用运行时的安全风险;渠道监测服务负责监控特定应用在各下载渠道的状况,包括篡改比例、篡改版本、发布来源、发布时间、下载量、危害分析等,降低恶意应用的传播通道和覆盖面。
中国软件评测中心成立于1990年,是直属于工业和信息化部的一类科研事业单位,是中国电子信息产业发展研究院(赛迪集团)的核心成员单位,也是首家通过中国国家实验室认可委员会认可和计量认证的单位。中心承担了“智能移动终端软件公共服务平台”、“面向移动终端的嵌入式软件测试支撑平台”、“国家云计算公共技术服务平台”、“国家物联网公用服务平台”等多个国家级公共技术服务平台的建设,牵头编制了《信息安全技术公共及商用服务信息系统个人信息保护指南》。依托上述工作的开展,工业和信息化部现已推荐中心筹建国家认证认可监督管理委员会“国家智能终端软件产品质量监督检验中心”;与此同时,中心正在牵头组建“中国移动互联网可信联盟”,希望能够集聚产业力量、推动企业自律、积极促进中国移动互联网产业的良性发展。