前 言 坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党 的十九大会议精神，为促进“互联网+医疗健康”安全发展，支撑健康 医疗大数据的服务安全管理，根据《中华人民共和国网络安全法》 《全 国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法 规和《健康中国行动（2019-2030 年）》《国务院办公厅关于促进“互 联网+医疗健康”发展的意见》《国务院办公厅关于促进和规范健康 医疗大数据发展行动纲要》《国务院办公厅关于促进和规范健康医疗 大数据应用发展的指导意见》《信息安全技术 个人信息安全规范》 《国家健康医疗大数据标准、安全和服务管理办法（试行）》等标准 规范与文件精神，中国信息通信研究院（以下简称：中国信通院）在 有关领导部门的指导下，联合卫生信息安全与新技术应用专业委员会 （以下简称：专委会）和中国医院协会信息管理专业委员会（以下简 称：CHIMA）等相关单位，聚焦于健康医疗行业 App，梳理健康医疗 行业 App 的安全现状，探究健康医疗行业 App 的网络安全问题，总 结形成本观测报告。 本次观测行动集中观测了健康医疗行业中基于安卓系统的移动 应用，共涉及 106 个安卓应用市场的 8350 个 App。经过持续数月的 观测，本报告研究团队综合运用大数据、漏洞扫描、病毒检测、抽样 研究等技术和研究手段，全方位、多维度地梳理了健康医疗行业 App 的网络安全现状。研究发现，健康医疗行业 App 安全风险的集中体现 在以下四个方面，一是安全漏洞风险居高，二是恶意程序危害严重， 三是第三方 SDK 引入风险，四是安全加固比例偏低。 本报告旨在通过对健康医疗行业的移动 App 的网络安全现状进 行观测与风险分析，提出健康医疗行业移动 App 安全工作的思路与 建议，通过与各单位的协同联动，促进健康医疗行业 App 的网络安全 生态体系建立，支撑保障互联网医疗的安全发展。限于时间和能力所 限，内容疏漏在所难免，烦请各界不吝指正。 目 录 一、健康医疗行业 App 观测背景 ...................................... 1 （一）移动应用安全的政策背景 ..................................... 1 （二）健康医疗行业 App 的安全现状 ................................. 2 二、健康医疗行业 App 观测结果 ...................................... 4 （一）观测对象分布情况 ........................................... 4 （二）观测对象风险集中表现 ....................................... 5 三、健康医疗行业 App 的安全风险分析 ................................ 7 （一）安全漏洞风险居高 ........................................... 7 （二）恶意程序危害严重 ........................................... 8 （三）第三方 SDK 引入风险 ........................................ 11 （四）安全加固比例偏低 .......................................... 14 四、健康医疗行业 App 的安全工作思路 ............................... 16 附录 A 健康医疗行业 App 地域分布表 ................................. 18 附录 B 存在恶意程序的 App 详情 ..................................... 19 附录 C App 恶意程序类型解释 ....................................... 24 一、健康医疗行业 App 观测背景 （一）移动应用安全的政策背景 自十八大以来，党中央和国务院高度重视网络安全。习近平总书 记指出，没有网络安全就没有国家安全，将网络安全提升到国家战略 高度。随着移动互联网的快速发展，移动互联网安全在整体网络安全 中的重要性愈加突出，而移动互联网安全的重中之重就是移动 App 的 网络安全。 2019 年 1 月 25 日，中央网信办、工业和信息化部、公安部、市 场监督总局四部门联合发布《关于开展 App 违法违规收集使用个人 信息专项治理的公告》，成立 App 专项治理工作组在全国范围内组织 开展 App 违法违规收集使用个人信息专项治理行动。3 月 1 日，App 专项治理工作组发布了《App 违法违规收集使用个人信息自评估指南》 （以下简称：《自评估指南》），指导各相关单位进行自查整改。3 月 15 日市场监管总局、中央网信办正式对外发布公告，将依据《移动互 联网应用程序（App）安全认证实施规则》开展 App 安全认证工作。 5 月 5 日，App 专项治理工作组起草了《App 违法违规收集使用个人 信息行为认定方法（征求意见稿）》（以下简称《认定方法》），并 在其官网和公众号公开，向社会各界公开征求意见，《认定方法》明 确界定了 App 收集使用个人信息方面的违法违规行为，为 App 运营 者自查自纠提供指引，为 App 评估和处置提供参考。7 月 1 日，工业 和信息化部印发《电信和互联网行业提升网络数据安全保护能力专项 行动方案》，强调为深化 App 违法违规专项治理，将持续推进 App 违 1 法违规采集使用个人信息专项治理行动。8 月 8 日，为落实《中华人 民共和国网络安全法》（以下简称《网络安全法》）对个人信息保护 的相关要求的同时，加快相应标准化工作，全国信息安全标准化技术 委员会秘书处颁布《信息安全技术 移动互联网应用（App）收集个人 信息基本规范（草案）》，向社会公开征求意见。 App 相关法律法规的密集颁布和出台，体现了政府对于保障 App 网络安全的重视和治理 App 网络安全的决心，也反映出当前移动 App 安全面临着严峻的形势。 （二）健康医疗行业 App 的安全现状 近年来，随着智能手机和移动互联网的快速发展，移动 App 已经 深入应用到大众生活的方方面面。随着“互联网+医疗健康”工作深 入推进，越来越多的行业主管部门、健康医疗机构、医疗服务提供商 和行业从业者通过移动 App 提供服务。然而，移动 App 在给大众生 活带来巨大便利的同时，也给大众带来了相应的安全隐患。移动 App 网络安全相关的法律法规和标准规范体系不完善，给不法分子带来可 乘之机；安卓第三方应用商店繁多，App 上线审核不规范，管理不严 格情况时有发生；健康医疗 App 开发者安全意识薄弱，技术手段落 后，开发流程不规范，更新修复不及时等问题严重；App 的用户缺乏 安全意识，不良的 App 使用习惯带来安全隐患。据《2018 年中国互 联网网络安全报告》显示，2013-2018 年，移动互联网恶意程序样本 数量持续高速增长，仅 2018 年由国家互联网应急中心捕获及通过厂 商交换获得的移动互联网恶意程序样本数量已达到 282.97 万个，同 2 比增长 11.7%。由此可见，健康医疗行业 App 面临的网络安全形势日 趋严峻，App 网络安全管理亟待加强。 为了进一步贯彻落实习近平总书记网络强国战略思想，促进“互 联网+医疗健康”安全发展，为健康医疗相关行业主管部门、行业从业 者和信息安全厂商提供决策依据，由中国信通院安全研究所牵头，专 委会、CHIMA 等相关单位参与，对基于安卓系统的健康医疗行业 App 的网络安全现状进行观测，形成本观测报告。 3 二、健康医疗行业 App 观测结果 （一）观测对象分布情况 截止 2019 年 10 月 1 日，报告团队从 106 个安卓应用市场共收录 了 8350 款健康医疗类 App 作为观测对象。 从观测对象的地域分布来看，有 8181 款 App 能明确归属省份， 覆盖了全国除港、澳以外所有的 32 个省级行政区（健康医疗行业 App 地域分布参加附录 A），平均每个省级行政区生成健康医疗行业 App 约 255.7 款。健康医疗行业 App 生成地域分布不均，如图 1 所示，北 京、广东的产量破千，而西藏、青海等省份产量仅为个位数。 图 1 健康医疗行业 App 地域分布情况 同时，研究团队将本次观测的健康医疗行业 App 进行了分类，主 要包含互联网医疗类、医疗机构类、健康管理类、运动健身类、医美 4 类、药品器械类、母婴类等类别。 互联网医疗类：主要是互联网公司与传统医疗信息服务融合的 App，提供各类线上医疗服务，如平安好医生等。 医疗机构类：主要是各类医院的官方 App，提供医院信息展示和 各类便民服务，如北京协和医院官方 App 等。 健康管理类：主要是健康管理相关信息、工具、服务平台，如大 姨妈等。 从观测对象的类型分布来看，互联网医疗类 App 以 30.38%的高 占比排名第一。其次是医疗机构类 App，占比 24.44%。排名第三的是 健康管理类 App，占比 17.10%。其他 App 集中在健康医疗行业核心 的几个垂直子行业，包括运动健身类、医美类、药品器械类和母婴类 等 App 总占比约为 30%。具体数据如图 2 所示。 母婴, 432, 5.17% 药品器械, 557, 6.67% 医美, 645, 7.72% 互联网医疗, 2537, 运动健身, 710, 30.38% 8.50% 健康管理, 1428, 17.10% 医疗机构, 2041, 24.44% 图 2 健康医疗行业 App 分类分布情况 （二）观测对象风险集中表现 1．以仿冒 App 为代表的高危漏洞风险 在本次观测中，发现有 88.83%的健康医疗行业 App 存在高危漏 5 洞，攻击者可利用这些漏洞进行 App 仿冒、植入恶意程序、窃取用户 敏感信息、攻击服务等，对 App 安全具有严重威胁。其中存在被仿冒 安全风险的 App 占比最高，约为 72.91%。 2．以流氓行为代表的恶意程序感染风险 本次观测发现，共有 72 款健康医疗行业 App 被检测出恶意程序， 感染率为 0.86%，主要涉及的恶意行为包括流氓行为、资费消耗、信 息窃取、远程控制、恶意扣费等多种恶意行为，给 App 用户的个人隐 私及财产安全带来危害。其中受到流氓行为恶意程序感染的 App 占 比最多，约为 79.17%。 3．使用第三方