魏昂 袁方 孫小越 李東格

摘 ? 要：隨著移動互聯(lián)網(wǎng)終端科技的不斷創(chuàng)新與發(fā)展，APP應(yīng)用近年來爆發(fā)式增長。在教育行業(yè)，伴隨“終身學(xué)習(xí)”“泛在學(xué)習(xí)”“碎片式學(xué)習(xí)”觀念的日益提升，人們對于學(xué)習(xí)的興趣也不斷提高，一大批教育行業(yè)APP不斷推出。隨著教育行業(yè)APP數(shù)量的激增，一系列市場亂象相繼出現(xiàn)。文章通過對教育行業(yè)APP網(wǎng)絡(luò)安全現(xiàn)狀進行研究，發(fā)現(xiàn)其存在高危漏洞、惡意應(yīng)用感染、第三方SDK良莠不齊、越界索權(quán)等安全威脅。針對這些安全威脅，文章從多方面提出相應(yīng)的安全建議，以期規(guī)范教育行業(yè)APP市場健康發(fā)展。

關(guān)鍵詞：教育行業(yè);APP安全;移動互聯(lián)網(wǎng);第三方SDK

中圖分類號： G434 ? ? ? ? ?文獻標(biāo)識碼：A

1 引言

伴隨著移動互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，中國“互聯(lián)網(wǎng)+教育”迎來了新的發(fā)展契機，各類教育行業(yè)APP層出不窮?；诨ヂ?lián)網(wǎng)技術(shù)的移動學(xué)習(xí)成為當(dāng)下新興的學(xué)習(xí)方式，與傳統(tǒng)的教育方式相比，移動學(xué)習(xí)的學(xué)習(xí)時間更靈活，學(xué)習(xí)內(nèi)容更碎片化，時間地點的限制性更低，用戶可以充分利用日常生活中的瑣碎時間學(xué)習(xí)，能夠滿足不同人群多樣化的學(xué)習(xí)需求。

教育行業(yè)APP在方便用戶線上學(xué)習(xí)的同時，也出現(xiàn)了很多安全隱患。例如，截屏攻擊風(fēng)險、Java代碼泄漏、各種惡意應(yīng)用、越界索權(quán)等問題，嚴(yán)重地威脅著用戶的個人隱私和財產(chǎn)安全。本文通過對教育行業(yè)APP安全現(xiàn)狀進行的調(diào)查研究，發(fā)現(xiàn)其主要存在四大安全風(fēng)險，基于這些風(fēng)險文章提出了對應(yīng)的安全建議。

2 教育行業(yè)APP概述

2.1 概述

教育行業(yè)APP是在智能移動終端興起過程中迅速發(fā)展形成的一種新型移動學(xué)習(xí)資源，是因?qū)W習(xí)需要而開發(fā)的智能移動終端應(yīng)用程序。近年來，移動學(xué)習(xí)的興起也帶動了教育形式的變化，PC端平移至移動端，用戶通過教育行業(yè)APP作為載體進行自主學(xué)習(xí)，無形中也促進了教育行業(yè)APP的發(fā)展。教育行業(yè)APP可以將不同學(xué)科的知識和資源相整合，通過文本、圖片、音頻、視頻、動畫等多種方式呈現(xiàn)，為用戶創(chuàng)造良好的學(xué)習(xí)平臺與交流機會。教育行業(yè)APP可以忽視時間與空間的限制，將最新的教學(xué)資源通過手機推送到用戶面前，還可以將不同的用戶互聯(lián)起來，構(gòu)建相互交流溝通的“學(xué)習(xí)圈”，明顯地滿足用戶的學(xué)習(xí)需求。隨著各類教育行業(yè)APP的相繼出現(xiàn)，也產(chǎn)生了諸如移動教學(xué)、移動科研、移動管理和移動圖書館等創(chuàng)新型應(yīng)用服務(wù)。

2.2 背景

在我國，教育行業(yè)APP的發(fā)展一直備受國家、各部委的大力支持?！秶医逃聵I(yè)發(fā)展第十二個五年規(guī)劃》《教育信息化十年發(fā)展規(guī)劃（2011-2020）》等規(guī)劃的出臺，為教育行業(yè)發(fā)展設(shè)立了科學(xué)的建設(shè)目標(biāo)，同時也為教育行業(yè)信息化投資經(jīng)費提供了穩(wěn)定可持續(xù)性的保障。

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，教育行業(yè)充分發(fā)揮網(wǎng)絡(luò)的各種教育功能和豐富的網(wǎng)絡(luò)教育資源優(yōu)勢，向受教育者和學(xué)習(xí)者提供一種網(wǎng)絡(luò)教和學(xué)的環(huán)境，在頂層政策上得到了更多關(guān)注。從2016年至今，國家不斷加大對教育行業(yè)的規(guī)范整頓力度，相關(guān)政策不斷涌現(xiàn)，如表1所示。

3 教育行業(yè)APP安全現(xiàn)狀

目前，我國教育行業(yè)APP總數(shù)量已突破31萬，在方便用戶線上學(xué)習(xí)的同時，也出現(xiàn)了很多安全隱患：一是由于移動APP網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)規(guī)范不完善，法律法規(guī)不健全，給不法分子可乘之機，部分APP侵犯用戶隱私權(quán)限，例如私自打開攝像頭、使用話筒錄音、讀取位置信息、讀取短信記錄、訪問聯(lián)系人、讀取設(shè)備信息等;二是APP普通面臨著治理監(jiān)管難題，例如分發(fā)渠道廣導(dǎo)致的審計難、數(shù)量版本多導(dǎo)致的區(qū)分難、運營單位亂導(dǎo)致的溯源難、事件傳播快導(dǎo)致的處理難等;三是教育行業(yè)APP惡意行為違規(guī)、個人隱私數(shù)據(jù)使用違規(guī)、信息內(nèi)容違規(guī)、不安全上線違規(guī)等技術(shù)難題普遍存在于應(yīng)用軟件開發(fā)階段、測試階段、上線階段和運行階段的安全風(fēng)險。

4 教育行業(yè)APP安全風(fēng)險分析

4.1 高危漏洞風(fēng)險問題突出

APP安全漏洞是指APP開發(fā)者在邏輯設(shè)計上的缺陷或在編寫時產(chǎn)生的錯誤，這些漏洞能輕易的被他人植入惡意代碼或手機病毒，造成損失。在調(diào)研中，發(fā)現(xiàn)有74%的教育行業(yè)APP存在高危漏洞，漏洞主要集中在Janus漏洞、截屏攻擊風(fēng)險、Java代碼泄漏、WebView遠程代碼執(zhí)行漏洞、獲取Root、日志數(shù)據(jù)泄漏風(fēng)險、URL硬編碼風(fēng)險、H5源代碼泄漏等方面。安全漏洞等級分布如圖1所示，98%的移動應(yīng)用存在安全漏洞。

4.2 惡意應(yīng)用感染風(fēng)險相對較強

惡意應(yīng)用是對破壞系統(tǒng)正常運行的軟件的統(tǒng)稱。惡意應(yīng)用介于病毒軟件和正規(guī)軟件之間，同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來了實質(zhì)危害。約有12%的教育行業(yè)APP含有惡意程序，惡意行為主要表現(xiàn)在隱私竊取、資費消耗、遠程控制、惡意傳播和靜默下載等五種方式。專家指出，傳統(tǒng)的病毒庫保護方式已經(jīng)不足以應(yīng)對惡意應(yīng)用的攻擊。惡意應(yīng)用一直在變化，即使是被監(jiān)測到，它們也會根據(jù)情形進行自動調(diào)整和變化，依靠單純的技術(shù)手段難以防范。惡意軟件威脅網(wǎng)絡(luò)和系統(tǒng)漏洞的方式也在改變，例如通過郵件附件傳播轉(zhuǎn)向使用社交網(wǎng)絡(luò)引誘用戶下載感染的文件和應(yīng)用程序，或是直接誘導(dǎo)用戶點擊惡意網(wǎng)站下載惡意軟件到用戶的系統(tǒng)中。惡意應(yīng)用渠道分布如圖2所示，3%的惡意應(yīng)用來源于應(yīng)用商店推廣渠道，在此種渠道中惡意應(yīng)用多數(shù)來源于第三方的應(yīng)用市場，來源于大的手機廠商或者手機運營商的應(yīng)用市場的惡意應(yīng)用幾乎沒有。

4.3 第三方SDK質(zhì)量差別很大

第三方SDK是指由第三方服務(wù)商提供的實現(xiàn)軟件產(chǎn)品某項功能的工具包。通俗地講，即是一些功能被第三方服務(wù)商實現(xiàn)后打包并提供接口，使用者只需要按照接口文檔說明調(diào)用對應(yīng)接口即可直接使用而不需要關(guān)注功能如何實現(xiàn)。超過三分之一的教育行業(yè)APP嵌入了第三方SDK，一些具有一定經(jīng)驗的高級開發(fā)人員會通過對SDK進行逆向操作來掃描代碼，對代碼進行掃描，可以知道SDK進行了哪些操作、采集了哪些隱私數(shù)據(jù)。但是隨著APP加固技術(shù)的不斷更新，逆向的難度越來越高，所以對大多數(shù)開發(fā)者來說很難去判斷這些第三方SDK做了哪些違規(guī)操作。SDK數(shù)量在教育行業(yè)APP中統(tǒng)計情況如圖3所示，有24.57%的應(yīng)用嵌入了第三方SDK;在嵌入SDK的APP中，多則嵌入9-12個SDK，少則嵌入2-5個SDK。

4.4 越界索權(quán)問題頻發(fā)

越界索權(quán)是指APP向用戶申請超出功能實際需要的權(quán)限的行為。多數(shù)APP存在申請權(quán)限時超出實際需要的情況，并且存在隱私政策中所提及所需權(quán)限與實際申請權(quán)限不符的情況。APP申請敏感數(shù)據(jù)情況表如表2所示，申請收集的個人敏感信息中申請收集比例比較高的高敏感信息權(quán)限4種，中敏感信息權(quán)限2種，低敏感信息權(quán)限3種。

5 教育行業(yè)APP安全建議

在線上教育飛速發(fā)展的時代背景下，教育行業(yè)APP網(wǎng)絡(luò)安全需要社會各界共同努力。

一是國家立法部門應(yīng)建立更完善的網(wǎng)絡(luò)安全保護法律，為消費者個人信息安全提供最根本的制度保障。

二是各部門應(yīng)出嚴(yán)厲手段，對違法使用個人信息進行牟利行為進行打擊。

三是APP開發(fā)管理者應(yīng)開發(fā)更加完善的個人信息保護手段，避免第三方惡意SDK造成個人信息泄露的威脅;同時應(yīng)建立規(guī)范的隱私政策，并積極提示用戶閱讀;對于權(quán)限的調(diào)用，個人敏感信息的采集，應(yīng)明確告知目的并通過顯著方式提醒用戶，充分保障用戶知情權(quán)和自愿權(quán)。

四是APP使用者下載手機軟件時一定要通過正規(guī)應(yīng)用市場下載，切勿直接點擊不安全的網(wǎng)頁彈窗安裝;同時積極閱讀隱私政策，明確個人信息收集規(guī)則，盡量減少APP權(quán)限的授予，避免非必要權(quán)限授權(quán);最后，當(dāng)發(fā)現(xiàn)強制、隱瞞開啟權(quán)限，隱私收集個人信息的軟件，及時向APP專項治理組或有關(guān)部門舉報[6]。

6 結(jié)束語

隨著教育行業(yè)APP數(shù)量的不斷增長，解決網(wǎng)絡(luò)安全問題的緊迫性越來越強。本文首先分析了教育行業(yè)APP的基本概述和背景，接著研究了教育行業(yè)APP當(dāng)前的安全現(xiàn)狀，然后對APP的安全風(fēng)險進行了分析，最后從法律法規(guī)到開發(fā)管理者以至到使用者層面，給出了對策建議。

參考文獻

[1] 崔曉雪，沈晶，王馨悅，崔簫，修志宇.大學(xué)生移動教育APP應(yīng)用現(xiàn)狀調(diào)查研究[J].中小學(xué)電教，2019（12）：32-36.

[2] 王鶴霖，朱祖煌.在線教育APP調(diào)查研究[J].計算機時代， 2019（03）：16-18.

[3] 高嵐嵐.教育APP的應(yīng)用分析及開發(fā)策略研究[J].福建電腦，2019，35（02）：92-94.

[4] 李玲.教育APP在高校課程教學(xué)中的應(yīng)用研究[D].錦州：渤海大學(xué)，2017.

[5] 盧亞麗.基于Android的教育APP的分析與實現(xiàn)[D].重慶：重慶師范大學(xué)，2016.

[6] 魏昂，李東格，呂堯.基于APP的個人隱私安全保護研究[J].網(wǎng)絡(luò)空間安全，2019，10（08）：31-35.