魏昂 袁方 孫小越 李東格

摘 ? 要：隨著移動(dòng)互聯(lián)網(wǎng)終端科技的不斷創(chuàng)新與發(fā)展，APP應(yīng)用近年來(lái)爆發(fā)式增長(zhǎng)。在教育行業(yè)，伴隨“終身學(xué)習(xí)”“泛在學(xué)習(xí)”“碎片式學(xué)習(xí)”觀念的日益提升，人們對(duì)于學(xué)習(xí)的興趣也不斷提高，一大批教育行業(yè)APP不斷推出。隨著教育行業(yè)APP數(shù)量的激增，一系列市場(chǎng)亂象相繼出現(xiàn)。文章通過(guò)對(duì)教育行業(yè)APP網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行研究，發(fā)現(xiàn)其存在高危漏洞、惡意應(yīng)用感染、第三方SDK良莠不齊、越界索權(quán)等安全威脅。針對(duì)這些安全威脅，文章從多方面提出相應(yīng)的安全建議，以期規(guī)范教育行業(yè)APP市場(chǎng)健康發(fā)展。

關(guān)鍵詞：教育行業(yè);APP安全;移動(dòng)互聯(lián)網(wǎng);第三方SDK

中圖分類號(hào)： G434 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

伴隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，中國(guó)“互聯(lián)網(wǎng)+教育”迎來(lái)了新的發(fā)展契機(jī)，各類教育行業(yè)APP層出不窮?；诨ヂ?lián)網(wǎng)技術(shù)的移動(dòng)學(xué)習(xí)成為當(dāng)下新興的學(xué)習(xí)方式，與傳統(tǒng)的教育方式相比，移動(dòng)學(xué)習(xí)的學(xué)習(xí)時(shí)間更靈活，學(xué)習(xí)內(nèi)容更碎片化，時(shí)間地點(diǎn)的限制性更低，用戶可以充分利用日常生活中的瑣碎時(shí)間學(xué)習(xí)，能夠滿足不同人群多樣化的學(xué)習(xí)需求。

教育行業(yè)APP在方便用戶線上學(xué)習(xí)的同時(shí)，也出現(xiàn)了很多安全隱患。例如，截屏攻擊風(fēng)險(xiǎn)、Java代碼泄漏、各種惡意應(yīng)用、越界索權(quán)等問(wèn)題，嚴(yán)重地威脅著用戶的個(gè)人隱私和財(cái)產(chǎn)安全。本文通過(guò)對(duì)教育行業(yè)APP安全現(xiàn)狀進(jìn)行的調(diào)查研究，發(fā)現(xiàn)其主要存在四大安全風(fēng)險(xiǎn)，基于這些風(fēng)險(xiǎn)文章提出了對(duì)應(yīng)的安全建議。

2 教育行業(yè)APP概述

2.1 概述

教育行業(yè)APP是在智能移動(dòng)終端興起過(guò)程中迅速發(fā)展形成的一種新型移動(dòng)學(xué)習(xí)資源，是因?qū)W習(xí)需要而開發(fā)的智能移動(dòng)終端應(yīng)用程序。近年來(lái)，移動(dòng)學(xué)習(xí)的興起也帶動(dòng)了教育形式的變化，PC端平移至移動(dòng)端，用戶通過(guò)教育行業(yè)APP作為載體進(jìn)行自主學(xué)習(xí)，無(wú)形中也促進(jìn)了教育行業(yè)APP的發(fā)展。教育行業(yè)APP可以將不同學(xué)科的知識(shí)和資源相整合，通過(guò)文本、圖片、音頻、視頻、動(dòng)畫等多種方式呈現(xiàn)，為用戶創(chuàng)造良好的學(xué)習(xí)平臺(tái)與交流機(jī)會(huì)。教育行業(yè)APP可以忽視時(shí)間與空間的限制，將最新的教學(xué)資源通過(guò)手機(jī)推送到用戶面前，還可以將不同的用戶互聯(lián)起來(lái)，構(gòu)建相互交流溝通的“學(xué)習(xí)圈”，明顯地滿足用戶的學(xué)習(xí)需求。隨著各類教育行業(yè)APP的相繼出現(xiàn)，也產(chǎn)生了諸如移動(dòng)教學(xué)、移動(dòng)科研、移動(dòng)管理和移動(dòng)圖書館等創(chuàng)新型應(yīng)用服務(wù)。

2.2 背景

在我國(guó)，教育行業(yè)APP的發(fā)展一直備受國(guó)家、各部委的大力支持?！秶?guó)家教育事業(yè)發(fā)展第十二個(gè)五年規(guī)劃》《教育信息化十年發(fā)展規(guī)劃（2011-2020）》等規(guī)劃的出臺(tái)，為教育行業(yè)發(fā)展設(shè)立了科學(xué)的建設(shè)目標(biāo)，同時(shí)也為教育行業(yè)信息化投資經(jīng)費(fèi)提供了穩(wěn)定可持續(xù)性的保障。

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，教育行業(yè)充分發(fā)揮網(wǎng)絡(luò)的各種教育功能和豐富的網(wǎng)絡(luò)教育資源優(yōu)勢(shì)，向受教育者和學(xué)習(xí)者提供一種網(wǎng)絡(luò)教和學(xué)的環(huán)境，在頂層政策上得到了更多關(guān)注。從2016年至今，國(guó)家不斷加大對(duì)教育行業(yè)的規(guī)范整頓力度，相關(guān)政策不斷涌現(xiàn)，如表1所示。

3 教育行業(yè)APP安全現(xiàn)狀

目前，我國(guó)教育行業(yè)APP總數(shù)量已突破31萬(wàn)，在方便用戶線上學(xué)習(xí)的同時(shí)，也出現(xiàn)了很多安全隱患：一是由于移動(dòng)APP網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)規(guī)范不完善，法律法規(guī)不健全，給不法分子可乘之機(jī)，部分APP侵犯用戶隱私權(quán)限，例如私自打開攝像頭、使用話筒錄音、讀取位置信息、讀取短信記錄、訪問(wèn)聯(lián)系人、讀取設(shè)備信息等;二是APP普通面臨著治理監(jiān)管難題，例如分發(fā)渠道廣導(dǎo)致的審計(jì)難、數(shù)量版本多導(dǎo)致的區(qū)分難、運(yùn)營(yíng)單位亂導(dǎo)致的溯源難、事件傳播快導(dǎo)致的處理難等;三是教育行業(yè)APP惡意行為違規(guī)、個(gè)人隱私數(shù)據(jù)使用違規(guī)、信息內(nèi)容違規(guī)、不安全上線違規(guī)等技術(shù)難題普遍存在于應(yīng)用軟件開發(fā)階段、測(cè)試階段、上線階段和運(yùn)行階段的安全風(fēng)險(xiǎn)。

4 教育行業(yè)APP安全風(fēng)險(xiǎn)分析

4.1 高危漏洞風(fēng)險(xiǎn)問(wèn)題突出

APP安全漏洞是指APP開發(fā)者在邏輯設(shè)計(jì)上的缺陷或在編寫時(shí)產(chǎn)生的錯(cuò)誤，這些漏洞能輕易的被他人植入惡意代碼或手機(jī)病毒，造成損失。在調(diào)研中，發(fā)現(xiàn)有74%的教育行業(yè)APP存在高危漏洞，漏洞主要集中在Janus漏洞、截屏攻擊風(fēng)險(xiǎn)、Java代碼泄漏、WebView遠(yuǎn)程代碼執(zhí)行漏洞、獲取Root、日志數(shù)據(jù)泄漏風(fēng)險(xiǎn)、URL硬編碼風(fēng)險(xiǎn)、H5源代碼泄漏等方面。安全漏洞等級(jí)分布如圖1所示，98%的移動(dòng)應(yīng)用存在安全漏洞。

4.2 惡意應(yīng)用感染風(fēng)險(xiǎn)相對(duì)較強(qiáng)

惡意應(yīng)用是對(duì)破壞系統(tǒng)正常運(yùn)行的軟件的統(tǒng)稱。惡意應(yīng)用介于病毒軟件和正規(guī)軟件之間，同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來(lái)了實(shí)質(zhì)危害。約有12%的教育行業(yè)APP含有惡意程序，惡意行為主要表現(xiàn)在隱私竊取、資費(fèi)消耗、遠(yuǎn)程控制、惡意傳播和靜默下載等五種方式。專家指出，傳統(tǒng)的病毒庫(kù)保護(hù)方式已經(jīng)不足以應(yīng)對(duì)惡意應(yīng)用的攻擊。惡意應(yīng)用一直在變化，即使是被監(jiān)測(cè)到，它們也會(huì)根據(jù)情形進(jìn)行自動(dòng)調(diào)整和變化，依靠單純的技術(shù)手段難以防范。惡意軟件威脅網(wǎng)絡(luò)和系統(tǒng)漏洞的方式也在改變，例如通過(guò)郵件附件傳播轉(zhuǎn)向使用社交網(wǎng)絡(luò)引誘用戶下載感染的文件和應(yīng)用程序，或是直接誘導(dǎo)用戶點(diǎn)擊惡意網(wǎng)站下載惡意軟件到用戶的系統(tǒng)中。惡意應(yīng)用渠道分布如圖2所示，3%的惡意應(yīng)用來(lái)源于應(yīng)用商店推廣渠道，在此種渠道中惡意應(yīng)用多數(shù)來(lái)源于第三方的應(yīng)用市場(chǎng)，來(lái)源于大的手機(jī)廠商或者手機(jī)運(yùn)營(yíng)商的應(yīng)用市場(chǎng)的惡意應(yīng)用幾乎沒(méi)有。

4.3 第三方SDK質(zhì)量差別很大

第三方SDK是指由第三方服務(wù)商提供的實(shí)現(xiàn)軟件產(chǎn)品某項(xiàng)功能的工具包。通俗地講，即是一些功能被第三方服務(wù)商實(shí)現(xiàn)后打包并提供接口，使用者只需要按照接口文檔說(shuō)明調(diào)用對(duì)應(yīng)接口即可直接使用而不需要關(guān)注功能如何實(shí)現(xiàn)。超過(guò)三分之一的教育行業(yè)APP嵌入了第三方SDK，一些具有一定經(jīng)驗(yàn)的高級(jí)開發(fā)人員會(huì)通過(guò)對(duì)SDK進(jìn)行逆向操作來(lái)掃描代碼，對(duì)代碼進(jìn)行掃描，可以知道SDK進(jìn)行了哪些操作、采集了哪些隱私數(shù)據(jù)。但是隨著APP加固技術(shù)的不斷更新，逆向的難度越來(lái)越高，所以對(duì)大多數(shù)開發(fā)者來(lái)說(shuō)很難去判斷這些第三方SDK做了哪些違規(guī)操作。SDK數(shù)量在教育行業(yè)APP中統(tǒng)計(jì)情況如圖3所示，有24.57%的應(yīng)用嵌入了第三方SDK;在嵌入SDK的APP中，多則嵌入9-12個(gè)SDK，少則嵌入2-5個(gè)SDK。

4.4 越界索權(quán)問(wèn)題頻發(fā)

越界索權(quán)是指APP向用戶申請(qǐng)超出功能實(shí)際需要的權(quán)限的行為。多數(shù)APP存在申請(qǐng)權(quán)限時(shí)超出實(shí)際需要的情況，并且存在隱私政策中所提及所需權(quán)限與實(shí)際申請(qǐng)權(quán)限不符的情況。APP申請(qǐng)敏感數(shù)據(jù)情況表如表2所示，申請(qǐng)收集的個(gè)人敏感信息中申請(qǐng)收集比例比較高的高敏感信息權(quán)限4種，中敏感信息權(quán)限2種，低敏感信息權(quán)限3種。

5 教育行業(yè)APP安全建議

在線上教育飛速發(fā)展的時(shí)代背景下，教育行業(yè)APP網(wǎng)絡(luò)安全需要社會(huì)各界共同努力。

一是國(guó)家立法部門應(yīng)建立更完善的網(wǎng)絡(luò)安全保護(hù)法律，為消費(fèi)者個(gè)人信息安全提供最根本的制度保障。

二是各部門應(yīng)出嚴(yán)厲手段，對(duì)違法使用個(gè)人信息進(jìn)行牟利行為進(jìn)行打擊。

三是APP開發(fā)管理者應(yīng)開發(fā)更加完善的個(gè)人信息保護(hù)手段，避免第三方惡意SDK造成個(gè)人信息泄露的威脅;同時(shí)應(yīng)建立規(guī)范的隱私政策，并積極提示用戶閱讀;對(duì)于權(quán)限的調(diào)用，個(gè)人敏感信息的采集，應(yīng)明確告知目的并通過(guò)顯著方式提醒用戶，充分保障用戶知情權(quán)和自愿權(quán)。

四是APP使用者下載手機(jī)軟件時(shí)一定要通過(guò)正規(guī)應(yīng)用市場(chǎng)下載，切勿直接點(diǎn)擊不安全的網(wǎng)頁(yè)彈窗安裝;同時(shí)積極閱讀隱私政策，明確個(gè)人信息收集規(guī)則，盡量減少APP權(quán)限的授予，避免非必要權(quán)限授權(quán);最后，當(dāng)發(fā)現(xiàn)強(qiáng)制、隱瞞開啟權(quán)限，隱私收集個(gè)人信息的軟件，及時(shí)向APP專項(xiàng)治理組或有關(guān)部門舉報(bào)[6]。

6 結(jié)束語(yǔ)

隨著教育行業(yè)APP數(shù)量的不斷增長(zhǎng)，解決網(wǎng)絡(luò)安全問(wèn)題的緊迫性越來(lái)越強(qiáng)。本文首先分析了教育行業(yè)APP的基本概述和背景，接著研究了教育行業(yè)APP當(dāng)前的安全現(xiàn)狀，然后對(duì)APP的安全風(fēng)險(xiǎn)進(jìn)行了分析，最后從法律法規(guī)到開發(fā)管理者以至到使用者層面，給出了對(duì)策建議。

參考文獻(xiàn)

[1] 崔曉雪，沈晶，王馨悅，崔簫，修志宇.大學(xué)生移動(dòng)教育APP應(yīng)用現(xiàn)狀調(diào)查研究[J].中小學(xué)電教，2019（12）：32-36.

[2] 王鶴霖，朱祖煌.在線教育APP調(diào)查研究[J].計(jì)算機(jī)時(shí)代， 2019（03）：16-18.

[3] 高嵐嵐.教育APP的應(yīng)用分析及開發(fā)策略研究[J].福建電腦，2019，35（02）：92-94.

[4] 李玲.教育APP在高校課程教學(xué)中的應(yīng)用研究[D].錦州：渤海大學(xué)，2017.

[5] 盧亞麗.基于Android的教育APP的分析與實(shí)現(xiàn)[D].重慶：重慶師范大學(xué)，2016.

[6] 魏昂，李東格，呂堯.基于APP的個(gè)人隱私安全保護(hù)研究[J].網(wǎng)絡(luò)空間安全，2019，10（08）：31-35.