近日,移動互聯網系統與應用安全國家工程實驗室(以下簡稱:國家工程實驗室)、中國信息通信研究院安全研究所(以下簡稱:信通院)、北京智游網安科技有限公司(愛加密)三方聯合發布了《全國移動App第二季度安全研究報告》。
本次報告內容包括全國移動App概況、移動App功能分布、金融類App分布情況、本季度增量情況、移動App個人信息安全概況、第二季度移動App安全風險監測評估。愛加密已連續與國家工程實驗室、信通院合作多年,并多次聯合發布全國移動App安全研究報告,為行業用戶了解本行業 App 安全提供了參考,也為個人用戶開啟了一扇了解當下App 安全熱點的窗戶。
一、全國移動App概況
根據中國信息通信研究院安全研究所和移動互聯網系統與應用安全國家工程實驗室(以下簡稱國家工程實驗室)以及北京智游網安科技有限公司(愛加密)移動應用大數據平臺提供的數據,截止6月底大數據平臺共計收錄Android移動App 338萬款,其中70%以上存在高危漏洞威脅;23.86%的App嵌入框架類的SDK。
(一)應用寶移動App數量占總量的21.40%
截止到本季度納入監測的應用渠道數量總計約900個,其中應用數量排名前三列的分別是:應用寶,共計應用724073款,占渠道總應用數量的21.40%;360市場,共計616302款,占總應用數量的18.21%;豌豆莢,共計523164款,占總應用數量的15.46%。以下是各渠道應用排行前十的情況:
各渠道應用排行TOP10
數據來源:愛加密移動應用大數據平臺
(二)高危漏洞呈逐漸增長趨勢
本次主要對10類94項風險漏洞進行監測分析,發現70%以上的App存在漏洞風險。約243萬款Android最新版本應用包通過移動應用安全平臺進行風險監測,其中,有高危漏洞的App約177萬款,占監測應用總數的73.05%。本季度排名前三的漏洞分別是:Janus漏洞、截屏攻擊風險、模擬器運行風險。詳見下圖:
存在漏洞的App數量統計圖
數據來源:愛加密移動應用大數據平臺
(三)第三方SDK應用廣泛,數據安全存在隱患
第三方SDK通常是造成用戶個人信息在網上“裸奔”的罪魁禍首。監測發現截止6月底,共計1366601款App嵌入框架類的SDK,占比23.86%;1261475款App嵌入工具類的SDK,占比22.02%;482967款App嵌入推送類的SDK,占比8.43%,詳見下圖:
不同類型SDK對應的App分布情況
數據來源:愛加密移動應用大數據平臺
(四)各省份移動App加固情況相近
從加固App區域分布來看,北京、廣東省App供應商安全意識較強,加固數量最多。
加固App省份Top10
數據來源:愛加密移動應用大數據平臺
經統計,安全加固排名前三列的分別是:北京市加固App占總量的24.4%,共計78279款;廣東省市占總量的24.0%,共計77034款;上海市占總量的6.9%,共計22179款,以下是前十占比情況:
加固App數量省份占比前十分布
數據來源:愛加密移動應用大數據平臺
北京以24.4%的市場份額成為匯聚加固App數量最多的省份,而青海、澳門、西藏等省份加固App數量較少。詳情如下:
加固App數量較少的省份分布情況
數據來源:愛加密移動應用大數據平臺
二、移動App功能分布
(一)游戲類App穩居市場總應用的首位
從全國移動App功能應用細分領域來看,游戲類App的數量占據首位,占市場應用的42.6%,共計934753款;生活實用類的App占市場應用的12.3%,共計269268款;系統工具類的App占市場應用的7.2%,共計156857款。不同細分領域App占比如下所示:
不同細分領域AppTop10數量及占比
數據來源:愛加密移動應用大數據平臺
(二)其他功能App分布情況
排名第4到第10的行業分別是辦公學習、資訊閱讀、金融理財、拍攝美化,總和未超過50%。其中:辦公學習類App共計143318款,占比6.5%;資訊閱讀類App共計125997款,占比5.7%;金融理財類App共計97573款,占比4.4%。詳情見下圖:
其他功能App數量分布
數據來源:愛加密移動應用大數據平臺
三、金融類App分布概況
(一) 超三成金融類App分布在華東地區
金融類App遍布全國各地,有97762款可以根據區域劃分規則明確歸屬地,以下區域分布僅基于這97762款做分析。從大區來看,華東地區App數量位居第一,占App總量的36.62%;其次是華南地區,占總量的31.47%;華北地區位列第三,占總量的16.81%。詳見下圖:
App大區分布圖
數據來源:愛加密移動應用大數據平臺
(二) 廣東省金融類App數量居全國第一
從省級區域來看,廣東省金融類App數量占全國總量的25.24%,位居第一;北京市金融類App數量占全國總量的14.74%,位居第二;上海市占全國總量的10.89%,位居第三。以下是排名TOP10的情況:
應用數量占比TOP10
數據來源:愛加密移動應用大數據平臺
四、本季度增量情況
(一) Android應用數量5月份環比倍數增長
本季度新增Android應用數量共計85857個,從月度上看,本季度Android應用數量增速5月份環比增長最快,環比增加59.82%,但6月新增應用共計32512款,環比下降24.17%。詳見圖8:
月度環比增速圖
數據來源:愛加密移動應用大數據平臺
從應用行業上看,教育類仍是新增移動App的主要類別,占新增應用40.37%;金融類新增數量位列第二,占新增應用26.21%;政企類新增數量位列第三,占新增應用的15.31%;詳見下圖:
新增移動App行業Top10分布圖
數據來源:愛加密移動應用大數據平臺
(二) 應用監測渠道增量情況
1.應用監測渠道4月增長較快
本季度應用監測新增渠道趨勢較為平緩,新增應用渠道共計31個,4月份新增12個渠道,6月份新增10個渠道。詳見下圖:
新增渠道情況
數據來源:愛加密移動應用大數據平臺
2.新增渠道中,服務器在廣東、湖北、上海的最多
從新增渠道分布區域上看,服務器在廣東、湖北、上海的渠道增量最多,占新增渠道12.90%。詳見下圖:
新增渠道所屬區域
數據來源:愛加密移動應用大數據平臺
五、移動App個人信息安全概況
(一)個人信息檢測違規類型分布情況
2021年6月,針對全國移動App進行了個人信息合規性抽樣檢測,其中,85.91%的應用存在“違規收集個人信息”的違規情況;83.99%的應用存在“超范圍收集個人信息”的違規情況;28.94%的應用存在“App強制、頻繁、過度索取權限”的違規情況。綜合上述,建議監管機構督促企業加強個人信息相關的法律法規宣傳,加強對App的開發企業、運營企業的通報處罰力度。作為責任主體,相關企業應做到遵紀守法,按照相關政策標準的要求自查自糾。用戶應提高隱私保護意識,提防“流氓”App,注重個人的隱私。個人信息違規類型分布詳見下圖:
個人信息違規類型分布
數據來源:愛加密移動應用大數據平臺
(二)個人信息檢測違規移動App功能類型分布
從功能類型來看,存在個人信息違規問題最多的是辦公學習類App,占檢測總量的15.53%;其次是生活實用類App,占檢測總量的10.17%;金融理財類App占檢測總量的5.75%,位居第三。詳見下圖:
個人信息檢測違規App功能類型分布
數據來源:愛加密移動應用大數據平臺
(三)移動App個人信息安全案例分析
1.越權設置密碼
(1)新用戶注冊后,使用驗證碼登錄App,在“我的-設置”功能中可進行密碼修改。
(2)密碼修改請求僅通過user_id區分用戶。
(3)使用首次登錄過程中抓取的一個不需要原密碼檢驗的密碼設置接口,此接口可以直接輸入其他用戶的手機號+自己設置的密碼使密碼修改生效,此時修改密碼不需要校驗原密碼或者短信驗證碼。
結果分析:App應使用安全的會話管理機制,在進行修改密碼等敏感操作時嚴格校驗用戶的身份,避免出現示例中的越權修改用戶敏感信息情況。
2.數據明文傳輸
對App請求與相應數據包進行抓取分析后發現,某App交互數據包均未進行加密處理,且返回數據內可見明文電話號碼、token等信息。
結果分析:App應對涉及個人敏感信息、重要數據等的數據包加密處理,,并對關鍵加密算法所在的so庫進行加殼、混淆等防護,保護App數據傳輸及加解密機制安全。
六、第二季度移動App安全風險監測評估
(一)App帶來便利的同時也隱藏著‘小心機’
在5G移動通信、大數據、物聯網、人工智能等技術的推動下,我國移動互聯網產業正呈現垂直化、專業化和平臺化趨勢,對推動實體經濟轉型、促進經濟社會發展起到了基礎性的支撐作用。人們在使用App的時候,一邊享受它帶來的便利的同時,一邊也深受“彈窗”的困擾,很多的廣告都以彈窗的形式出現在用戶的視野中,且關閉的按鈕設置小;有些彈窗也存在用瞞天過海的把戲誘導用戶點擊。相關部門發現此問題出現的頻率逐漸增高,針對該違規行為進行了監督,并督促企業完成整改,解決掉在信息頁面中存在利用彈窗誘導、欺騙用戶跳轉其他頁面的問題,為廣大群眾創建一個綠色的健康網絡環境。
(二)網絡安全離不開安全技術和產業的支撐
沒有網絡安全就沒有國家安全,嚴重影響經濟社會穩定運行,廣大人民群眾利益也難以得到保障。當前,各種形式的網絡攻擊、惡意代碼、安全漏洞層出不窮,對關鍵信息基礎設施安全、數據安全、個人信息安全構成嚴重威脅。網絡安全的本質是技術對抗,保障網絡安全離不開網絡安全技術和產業的有力支撐。
