厦门新闻网移动版

　　从高危漏洞类型来看，存在 Janus 漏洞的 App 数量最多，占监测总数的 66.08%;其次是 Java 代码加壳检测，占监测总数的 53.89%;WebView 远程代码执行漏洞排行第三，52.24% 的 App 存在此漏洞。

　　攻击者可利用这些漏洞进行 App 仿冒、植入恶意程序、窃取用户敏感信息、攻击服务等，对 App 安全具有严重威胁。

　　2.以流氓行为为代表的恶意程序感染加剧

　　雷锋网注：图为 App 恶意程序分布情况

　　在恶意程序方面，共有 806 款健康医疗 App 被检测出含有恶意程序，感染恶意程序 App 占比达到 3.69%，而 2019 年的感染率仅为 0.86%;可见，健康医疗 App 恶意程序感染风险加剧。

　　从恶意程序类型来看，64.05% 的 App 受到具有流氓行为的恶意程序感染。这类恶意程序会在用户未授权的情况下，任意弹出广告窗口，影响用户体验的同时，可能因误触点击导致隐私安全风险。

　　另外，存在 16.01% 的 App 受到具有资费消耗行为的恶意程序感染，这类恶意程序会在用户不知情或未授权情况下，通过频繁连接网络等方式导致用户资费损失，具有资费消耗属性。

　　3.使用第三方 SDK 引入的安全隐患升高

　　SDK 是 Software Development Kit 的缩写，即“软件开发工具包”，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。

　　开发者在开发过程中，为了提升效率、降低成本，往往会嵌入第三方 SDK。但是，第三方 SDK 存在安全漏洞、恶意程序、隐蔽收集个人信息等安全问题，嵌入第三方 SDK 往往会给 App 带来安全隐患。

　　本次检测发现，共有 9,636 款健康医疗行业 App 嵌入了第三方 SDK，占检测总数的 44.11%，平均每款 APP 嵌入 2.37 个，嵌入 5 个及以上 SDK 的 App 占比 9.88%。

　　对比来看，2019 年健康医疗行业 App 被嵌入第三方 SDK 的比例仅 25.58%，可见，在健康医疗行业 App 中第三方 SDK 使用更为普遍，而 SDK 应用带来的安全隐患也在持续升高。

　　4.App 加固不足造成源代码暴露问题恶化

　　基于 Java 编写的安卓 App 容易被破解暴露 App 源代码，进而带来 App 盗版、二次打包、注入等安全问题。

　　“安全加固”是维护 App 安全的重要防护手段，它能够有效阻止对 App 的反汇编分析。经过安全加固的 App，不仅其系统稳定性得到提升，还拥有能力规避一定程度的安全风险。

　　本次检测发现，健康医疗行业 App 加固比例降低至 18.04%(2019 年其加固比例为 24.83%)，有超过 80% 的 App 未进行过安全加固，安卓 App 源代码暴露风险进一步恶化。

　　疫情期间新型医疗设备应用风险分析

　　1.疫情推动医疗设备行业创新发展

　　在疫情防控过程中，在政府政策的推动下，行业诸多科研人才投入到了攻关创新型医疗设备中，各类结合 AI 技术、机器人技术的新型医疗设备逐步应用推广。

　　例如搭载 AI 的专用 CT 机设备，能够快速识别新冠肺炎影像，大幅度降低医生阅片工作量;各类提供消毒、送餐、配药、测温、问诊、护理、陪伴、运输、超声等服务的机器人医疗设备冲上防御一线;基于 5G 技术的远程诊疗视频设备、超声设备、手术设备等，支撑了疫情期间的远程医疗协同、会诊、手术的高效应用。

　　新型医疗设备在新冠肺炎疫情的推动下快速走向市场和实践。与此同时，疫情也刺激了医疗设备市场的快速发展，据亿邦动力统计，自 2020 年 1 月 1 日至 2 月 7 日，全国超过 3,000 家企业经营范围新增了“医疗器械”业务。

　　2.医疗设备行业安全体系亟待完善

　　在各类新型医疗设备应用推广的同时，我们需要警惕新型医疗设备应用带来的网络安全风险。由于医疗设备的特殊性，一旦发生网络安全问题，可能直接危及患者的生命健康，造成极其严重的后果。

　　当前，我国针对医疗设备上市后的监管主要是通过不良事件报告及召回的方式，但由于医疗设备生产企业对不良事件和其他安全问题上报不及时，导致使用单位或使用者面临巨大损失的情况时有发生。

　　据国家药品监督管理局在 2019 年 10 月发布的《国家医疗器械不良事件监测年度报告(2018 年)》，全国医疗器械不良事件监测信息系统在 2018年接收到可疑医疗器械不良事件监测报告达到 40 余万份。