近日，移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室（以下簡(jiǎn)稱(chēng)：國(guó)家工程實(shí)驗(yàn)室）、中國(guó)信息通信研究院安全研究所（以下簡(jiǎn)稱(chēng)：信通院）、北京智游網(wǎng)安科技有限公司（愛(ài)加密）三方聯(lián)合發(fā)布了《全國(guó)移動(dòng)App第二季度安全研究報(bào)告》。

本次報(bào)告內(nèi)容包括全國(guó)移動(dòng)App概況、移動(dòng)App功能分布、金融類(lèi)App分布情況、本季度增量情況、移動(dòng)App個(gè)人信息安全概況、第二季度移動(dòng)App安全風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估。愛(ài)加密已連續(xù)與國(guó)家工程實(shí)驗(yàn)室、信通院合作多年，并多次聯(lián)合發(fā)布全國(guó)移動(dòng)App安全研究報(bào)告，為行業(yè)用戶了解本行業(yè) App 安全提供了參考，也為個(gè)人用戶開(kāi)啟了一扇了解當(dāng)下App 安全熱點(diǎn)的窗戶。

一、全國(guó)移動(dòng)App概況

根據(jù)中國(guó)信息通信研究院安全研究所和移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國(guó)家工程實(shí)驗(yàn)室（以下簡(jiǎn)稱(chēng)國(guó)家工程實(shí)驗(yàn)室）以及北京智游網(wǎng)安科技有限公司（愛(ài)加密）移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)提供的數(shù)據(jù)，截止6月底大數(shù)據(jù)平臺(tái)共計(jì)收錄Android移動(dòng)App 338萬(wàn)款，其中70%以上存在高危漏洞威脅；23.86%的App嵌入框架類(lèi)的SDK。

（一）應(yīng)用寶移動(dòng)App數(shù)量占總量的21.40%

截止到本季度納入監(jiān)測(cè)的應(yīng)用渠道數(shù)量總計(jì)約900個(gè)，其中應(yīng)用數(shù)量排名前三列的分別是：應(yīng)用寶，共計(jì)應(yīng)用724073款，占渠道總應(yīng)用數(shù)量的21.40%；360市場(chǎng)，共計(jì)616302款，占總應(yīng)用數(shù)量的18.21%；豌豆莢，共計(jì)523164款，占總應(yīng)用數(shù)量的15.46%。以下是各渠道應(yīng)用排行前十的情況：

各渠道應(yīng)用排行TOP10

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

（二）高危漏洞呈逐漸增長(zhǎng)趨勢(shì)

本次主要對(duì)10類(lèi)94項(xiàng)風(fēng)險(xiǎn)漏洞進(jìn)行監(jiān)測(cè)分析，發(fā)現(xiàn)70%以上的App存在漏洞風(fēng)險(xiǎn)。約243萬(wàn)款A(yù)ndroid最新版本應(yīng)用包通過(guò)移動(dòng)應(yīng)用安全平臺(tái)進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)，其中，有高危漏洞的App約177萬(wàn)款，占監(jiān)測(cè)應(yīng)用總數(shù)的73.05%。本季度排名前三的漏洞分別是：Janus漏洞、截屏攻擊風(fēng)險(xiǎn)、模擬器運(yùn)行風(fēng)險(xiǎn)。詳見(jiàn)下圖：

存在漏洞的App數(shù)量統(tǒng)計(jì)圖

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

（三）第三方SDK應(yīng)用廣泛，數(shù)據(jù)安全存在隱患

第三方SDK通常是造成用戶個(gè)人信息在網(wǎng)上“裸奔”的罪魁禍?zhǔn)住１O(jiān)測(cè)發(fā)現(xiàn)截止6月底，共計(jì)1366601款A(yù)pp嵌入框架類(lèi)的SDK，占比23.86%；1261475款A(yù)pp嵌入工具類(lèi)的SDK，占比22.02%；482967款A(yù)pp嵌入推送類(lèi)的SDK，占比8.43%，詳見(jiàn)下圖：

不同類(lèi)型SDK對(duì)應(yīng)的App分布情況

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

（四）各省份移動(dòng)App加固情況相近

從加固App區(qū)域分布來(lái)看，北京、廣東省App供應(yīng)商安全意識(shí)較強(qiáng)，加固數(shù)量最多。

加固App省份Top10

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

經(jīng)統(tǒng)計(jì)，安全加固排名前三列的分別是：北京市加固App占總量的24.4%，共計(jì)78279款；廣東省市占總量的24.0%，共計(jì)77034款；上海市占總量的6.9%，共計(jì)22179款，以下是前十占比情況：

加固App數(shù)量省份占比前十分布

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

北京以24.4%的市場(chǎng)份額成為匯聚加固App數(shù)量最多的省份，而青海、澳門(mén)、西藏等省份加固App數(shù)量較少。詳情如下：

加固App數(shù)量較少的省份分布情況

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

二、移動(dòng)App功能分布

（一）游戲類(lèi)App穩(wěn)居市場(chǎng)總應(yīng)用的首位

從全國(guó)移動(dòng)App功能應(yīng)用細(xì)分領(lǐng)域來(lái)看，游戲類(lèi)App的數(shù)量占據(jù)首位，占市場(chǎng)應(yīng)用的42.6%，共計(jì)934753款；生活實(shí)用類(lèi)的App占市場(chǎng)應(yīng)用的12.3%，共計(jì)269268款；系統(tǒng)工具類(lèi)的App占市場(chǎng)應(yīng)用的7.2%，共計(jì)156857款。不同細(xì)分領(lǐng)域App占比如下所示：

不同細(xì)分領(lǐng)域AppTop10數(shù)量及占比

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

（二）其他功能App分布情況

排名第4到第10的行業(yè)分別是辦公學(xué)習(xí)、資訊閱讀、金融理財(cái)、拍攝美化，總和未超過(guò)50%。其中：辦公學(xué)習(xí)類(lèi)App共計(jì)143318款，占比6.5%；資訊閱讀類(lèi)App共計(jì)125997款，占比5.7%；金融理財(cái)類(lèi)App共計(jì)97573款，占比4.4%。詳情見(jiàn)下圖：

其他功能App數(shù)量分布

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

三、金融類(lèi)App分布概況

（一） 超三成金融類(lèi)App分布在華東地區(qū)

金融類(lèi)App遍布全國(guó)各地，有97762款可以根據(jù)區(qū)域劃分規(guī)則明確歸屬地，以下區(qū)域分布僅基于這97762款做分析。從大區(qū)來(lái)看，華東地區(qū)App數(shù)量位居第一，占App總量的36.62%；其次是華南地區(qū)，占總量的31.47%；華北地區(qū)位列第三，占總量的16.81%。詳見(jiàn)下圖：

App大區(qū)分布圖

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

（二） 廣東省金融類(lèi)App數(shù)量居全國(guó)第一

從省級(jí)區(qū)域來(lái)看，廣東省金融類(lèi)App數(shù)量占全國(guó)總量的25.24%，位居第一；北京市金融類(lèi)App數(shù)量占全國(guó)總量的14.74%，位居第二；上海市占全國(guó)總量的10.89%，位居第三。以下是排名TOP10的情況：

應(yīng)用數(shù)量占比TOP10

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

四、本季度增量情況

（一） Android應(yīng)用數(shù)量5月份環(huán)比倍數(shù)增長(zhǎng)

本季度新增Android應(yīng)用數(shù)量共計(jì)85857個(gè)，從月度上看，本季度Android應(yīng)用數(shù)量增速5月份環(huán)比增長(zhǎng)最快，環(huán)比增加59.82%，但6月新增應(yīng)用共計(jì)32512款，環(huán)比下降24.17%。詳見(jiàn)圖8：

月度環(huán)比增速圖

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

從應(yīng)用行業(yè)上看，教育類(lèi)仍是新增移動(dòng)App的主要類(lèi)別，占新增應(yīng)用40.37%；金融類(lèi)新增數(shù)量位列第二，占新增應(yīng)用26.21%；政企類(lèi)新增數(shù)量位列第三，占新增應(yīng)用的15.31%；詳見(jiàn)下圖：

新增移動(dòng)App行業(yè)Top10分布圖

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

（二） 應(yīng)用監(jiān)測(cè)渠道增量情況

1.應(yīng)用監(jiān)測(cè)渠道4月增長(zhǎng)較快

本季度應(yīng)用監(jiān)測(cè)新增渠道趨勢(shì)較為平緩，新增應(yīng)用渠道共計(jì)31個(gè)，4月份新增12個(gè)渠道，6月份新增10個(gè)渠道。詳見(jiàn)下圖：

新增渠道情況

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

2.新增渠道中，服務(wù)器在廣東、湖北、上海的最多

從新增渠道分布區(qū)域上看，服務(wù)器在廣東、湖北、上海的渠道增量最多，占新增渠道12.90%。詳見(jiàn)下圖：

新增渠道所屬區(qū)域

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

五、移動(dòng)App個(gè)人信息安全概況

（一）個(gè)人信息檢測(cè)違規(guī)類(lèi)型分布情況

2021年6月，針對(duì)全國(guó)移動(dòng)App進(jìn)行了個(gè)人信息合規(guī)性抽樣檢測(cè)，其中，85.91%的應(yīng)用存在“違規(guī)收集個(gè)人信息”的違規(guī)情況；83.99%的應(yīng)用存在“超范圍收集個(gè)人信息”的違規(guī)情況；28.94%的應(yīng)用存在“App強(qiáng)制、頻繁、過(guò)度索取權(quán)限”的違規(guī)情況。綜合上述，建議監(jiān)管機(jī)構(gòu)督促企業(yè)加強(qiáng)個(gè)人信息相關(guān)的法律法規(guī)宣傳，加強(qiáng)對(duì)App的開(kāi)發(fā)企業(yè)、運(yùn)營(yíng)企業(yè)的通報(bào)處罰力度。作為責(zé)任主體，相關(guān)企業(yè)應(yīng)做到遵紀(jì)守法，按照相關(guān)政策標(biāo)準(zhǔn)的要求自查自糾。用戶應(yīng)提高隱私保護(hù)意識(shí)，提防“流氓”App，注重個(gè)人的隱私。個(gè)人信息違規(guī)類(lèi)型分布詳見(jiàn)下圖：

個(gè)人信息違規(guī)類(lèi)型分布

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

（二）個(gè)人信息檢測(cè)違規(guī)移動(dòng)App功能類(lèi)型分布

從功能類(lèi)型來(lái)看，存在個(gè)人信息違規(guī)問(wèn)題最多的是辦公學(xué)習(xí)類(lèi)App，占檢測(cè)總量的15.53%；其次是生活實(shí)用類(lèi)App，占檢測(cè)總量的10.17%；金融理財(cái)類(lèi)App占檢測(cè)總量的5.75%，位居第三。詳見(jiàn)下圖：

個(gè)人信息檢測(cè)違規(guī)App功能類(lèi)型分布

數(shù)據(jù)來(lái)源：愛(ài)加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)

（三）移動(dòng)App個(gè)人信息安全案例分析

1.越權(quán)設(shè)置密碼

（1）新用戶注冊(cè)后，使用驗(yàn)證碼登錄App，在“我的-設(shè)置”功能中可進(jìn)行密碼修改。

（2）密碼修改請(qǐng)求僅通過(guò)user_id區(qū)分用戶。

（3）使用首次登錄過(guò)程中抓取的一個(gè)不需要原密碼檢驗(yàn)的密碼設(shè)置接口，此接口可以直接輸入其他用戶的手機(jī)號(hào)+自己設(shè)置的密碼使密碼修改生效，此時(shí)修改密碼不需要校驗(yàn)原密碼或者短信驗(yàn)證碼。

結(jié)果分析：App應(yīng)使用安全的會(huì)話管理機(jī)制，在進(jìn)行修改密碼等敏感操作時(shí)嚴(yán)格校驗(yàn)用戶的身份，避免出現(xiàn)示例中的越權(quán)修改用戶敏感信息情況。

2.數(shù)據(jù)明文傳輸

對(duì)App請(qǐng)求與相應(yīng)數(shù)據(jù)包進(jìn)行抓取分析后發(fā)現(xiàn)，某App交互數(shù)據(jù)包均未進(jìn)行加密處理，且返回?cái)?shù)據(jù)內(nèi)可見(jiàn)明文電話號(hào)碼、token等信息。

結(jié)果分析：App應(yīng)對(duì)涉及個(gè)人敏感信息、重要數(shù)據(jù)等的數(shù)據(jù)包加密處理，，并對(duì)關(guān)鍵加密算法所在的so庫(kù)進(jìn)行加殼、混淆等防護(hù)，保護(hù)App數(shù)據(jù)傳輸及加解密機(jī)制安全。

六、第二季度移動(dòng)App安全風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估

（一）App帶來(lái)便利的同時(shí)也隱藏著‘小心機(jī)’

在5G移動(dòng)通信、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)的推動(dòng)下，我國(guó)移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)正呈現(xiàn)垂直化、專(zhuān)業(yè)化和平臺(tái)化趨勢(shì)，對(duì)推動(dòng)實(shí)體經(jīng)濟(jì)轉(zhuǎn)型、促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展起到了基礎(chǔ)性的支撐作用。人們?cè)谑褂肁pp的時(shí)候，一邊享受它帶來(lái)的便利的同時(shí)，一邊也深受“彈窗”的困擾，很多的廣告都以彈窗的形式出現(xiàn)在用戶的視野中，且關(guān)閉的按鈕設(shè)置?。挥行棿耙泊嬖谟貌m天過(guò)海的把戲誘導(dǎo)用戶點(diǎn)擊。相關(guān)部門(mén)發(fā)現(xiàn)此問(wèn)題出現(xiàn)的頻率逐漸增高，針對(duì)該違規(guī)行為進(jìn)行了監(jiān)督，并督促企業(yè)完成整改，解決掉在信息頁(yè)面中存在利用彈窗誘導(dǎo)、欺騙用戶跳轉(zhuǎn)其他頁(yè)面的問(wèn)題，為廣大群眾創(chuàng)建一個(gè)綠色的健康網(wǎng)絡(luò)環(huán)境。

（二）網(wǎng)絡(luò)安全離不開(kāi)安全技術(shù)和產(chǎn)業(yè)的支撐

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，嚴(yán)重影響經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障。當(dāng)前，各種形式的網(wǎng)絡(luò)攻擊、惡意代碼、安全漏洞層出不窮，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、個(gè)人信息安全構(gòu)成嚴(yán)重威脅。網(wǎng)絡(luò)安全的本質(zhì)是技術(shù)對(duì)抗，保障網(wǎng)絡(luò)安全離不開(kāi)網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)的有力支撐。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。

關(guān)鍵詞：