近日，移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室（以下簡稱：國家工程實驗室）、中國信息通信研究院安全研究所（以下簡稱：信通院）、北京智游網(wǎng)安科技有限公司（愛加密）三方聯(lián)合發(fā)布了《全國移動App第二季度安全研究報告》。

本次報告內(nèi)容包括全國移動App概況、移動App功能分布、金融類App分布情況、本季度增量情況、移動App個人信息安全概況、第二季度移動App安全風(fēng)險監(jiān)測評估。愛加密已連續(xù)與國家工程實驗室、信通院合作多年，并多次聯(lián)合發(fā)布全國移動App安全研究報告，為行業(yè)用戶了解本行業(yè) App 安全提供了參考，也為個人用戶開啟了一扇了解當(dāng)下App 安全熱點的窗戶。

一、全國移動App概況

根據(jù)中國信息通信研究院安全研究所和移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室（以下簡稱國家工程實驗室）以及北京智游網(wǎng)安科技有限公司（愛加密）移動應(yīng)用大數(shù)據(jù)平臺提供的數(shù)據(jù)，截止6月底大數(shù)據(jù)平臺共計收錄Android移動App 338萬款，其中70%以上存在高危漏洞威脅；23.86%的App嵌入框架類的SDK。

（一）應(yīng)用寶移動App數(shù)量占總量的21.40%

截止到本季度納入監(jiān)測的應(yīng)用渠道數(shù)量總計約900個，其中應(yīng)用數(shù)量排名前三列的分別是：應(yīng)用寶，共計應(yīng)用724073款，占渠道總應(yīng)用數(shù)量的21.40%；360市場，共計616302款，占總應(yīng)用數(shù)量的18.21%；豌豆莢，共計523164款，占總應(yīng)用數(shù)量的15.46%。以下是各渠道應(yīng)用排行前十的情況：

各渠道應(yīng)用排行TOP10

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

（二）高危漏洞呈逐漸增長趨勢

本次主要對10類94項風(fēng)險漏洞進(jìn)行監(jiān)測分析，發(fā)現(xiàn)70%以上的App存在漏洞風(fēng)險。約243萬款A(yù)ndroid最新版本應(yīng)用包通過移動應(yīng)用安全平臺進(jìn)行風(fēng)險監(jiān)測，其中，有高危漏洞的App約177萬款，占監(jiān)測應(yīng)用總數(shù)的73.05%。本季度排名前三的漏洞分別是：Janus漏洞、截屏攻擊風(fēng)險、模擬器運行風(fēng)險。詳見下圖：

存在漏洞的App數(shù)量統(tǒng)計圖

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

（三）第三方SDK應(yīng)用廣泛，數(shù)據(jù)安全存在隱患

第三方SDK通常是造成用戶個人信息在網(wǎng)上“裸奔”的罪魁禍?zhǔn)?。監(jiān)測發(fā)現(xiàn)截止6月底，共計1366601款A(yù)pp嵌入框架類的SDK，占比23.86%；1261475款A(yù)pp嵌入工具類的SDK，占比22.02%；482967款A(yù)pp嵌入推送類的SDK，占比8.43%，詳見下圖：

不同類型SDK對應(yīng)的App分布情況

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

（四）各省份移動App加固情況相近

從加固App區(qū)域分布來看，北京、廣東省App供應(yīng)商安全意識較強，加固數(shù)量最多。

加固App省份Top10

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

經(jīng)統(tǒng)計，安全加固排名前三列的分別是：北京市加固App占總量的24.4%，共計78279款；廣東省市占總量的24.0%，共計77034款；上海市占總量的6.9%，共計22179款，以下是前十占比情況：

加固App數(shù)量省份占比前十分布

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

北京以24.4%的市場份額成為匯聚加固App數(shù)量最多的省份，而青海、澳門、西藏等省份加固App數(shù)量較少。詳情如下：

加固App數(shù)量較少的省份分布情況

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

二、移動App功能分布

（一）游戲類App穩(wěn)居市場總應(yīng)用的首位

從全國移動App功能應(yīng)用細(xì)分領(lǐng)域來看，游戲類App的數(shù)量占據(jù)首位，占市場應(yīng)用的42.6%，共計934753款；生活實用類的App占市場應(yīng)用的12.3%，共計269268款；系統(tǒng)工具類的App占市場應(yīng)用的7.2%，共計156857款。不同細(xì)分領(lǐng)域App占比如下所示：

不同細(xì)分領(lǐng)域AppTop10數(shù)量及占比

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

（二）其他功能App分布情況

排名第4到第10的行業(yè)分別是辦公學(xué)習(xí)、資訊閱讀、金融理財、拍攝美化，總和未超過50%。其中：辦公學(xué)習(xí)類App共計143318款，占比6.5%；資訊閱讀類App共計125997款，占比5.7%；金融理財類App共計97573款，占比4.4%。詳情見下圖：

其他功能App數(shù)量分布

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

三、金融類App分布概況

（一） 超三成金融類App分布在華東地區(qū)

金融類App遍布全國各地，有97762款可以根據(jù)區(qū)域劃分規(guī)則明確歸屬地，以下區(qū)域分布僅基于這97762款做分析。從大區(qū)來看，華東地區(qū)App數(shù)量位居第一，占App總量的36.62%；其次是華南地區(qū)，占總量的31.47%；華北地區(qū)位列第三，占總量的16.81%。詳見下圖：

App大區(qū)分布圖

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

（二） 廣東省金融類App數(shù)量居全國第一

從省級區(qū)域來看，廣東省金融類App數(shù)量占全國總量的25.24%，位居第一；北京市金融類App數(shù)量占全國總量的14.74%，位居第二；上海市占全國總量的10.89%，位居第三。以下是排名TOP10的情況：

應(yīng)用數(shù)量占比TOP10

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

四、本季度增量情況

（一） Android應(yīng)用數(shù)量5月份環(huán)比倍數(shù)增長

本季度新增Android應(yīng)用數(shù)量共計85857個，從月度上看，本季度Android應(yīng)用數(shù)量增速5月份環(huán)比增長最快，環(huán)比增加59.82%，但6月新增應(yīng)用共計32512款，環(huán)比下降24.17%。詳見圖8：

月度環(huán)比增速圖

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

從應(yīng)用行業(yè)上看，教育類仍是新增移動App的主要類別，占新增應(yīng)用40.37%；金融類新增數(shù)量位列第二，占新增應(yīng)用26.21%；政企類新增數(shù)量位列第三，占新增應(yīng)用的15.31%；詳見下圖：

新增移動App行業(yè)Top10分布圖

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

（二） 應(yīng)用監(jiān)測渠道增量情況

1.應(yīng)用監(jiān)測渠道4月增長較快

本季度應(yīng)用監(jiān)測新增渠道趨勢較為平緩，新增應(yīng)用渠道共計31個，4月份新增12個渠道，6月份新增10個渠道。詳見下圖：

新增渠道情況

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

2.新增渠道中，服務(wù)器在廣東、湖北、上海的最多

從新增渠道分布區(qū)域上看，服務(wù)器在廣東、湖北、上海的渠道增量最多，占新增渠道12.90%。詳見下圖：

新增渠道所屬區(qū)域

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

五、移動App個人信息安全概況

（一）個人信息檢測違規(guī)類型分布情況

2021年6月，針對全國移動App進(jìn)行了個人信息合規(guī)性抽樣檢測，其中，85.91%的應(yīng)用存在“違規(guī)收集個人信息”的違規(guī)情況；83.99%的應(yīng)用存在“超范圍收集個人信息”的違規(guī)情況；28.94%的應(yīng)用存在“App強制、頻繁、過度索取權(quán)限”的違規(guī)情況。綜合上述，建議監(jiān)管機構(gòu)督促企業(yè)加強個人信息相關(guān)的法律法規(guī)宣傳，加強對App的開發(fā)企業(yè)、運營企業(yè)的通報處罰力度。作為責(zé)任主體，相關(guān)企業(yè)應(yīng)做到遵紀(jì)守法，按照相關(guān)政策標(biāo)準(zhǔn)的要求自查自糾。用戶應(yīng)提高隱私保護(hù)意識，提防“流氓”App，注重個人的隱私。個人信息違規(guī)類型分布詳見下圖：

個人信息違規(guī)類型分布

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

（二）個人信息檢測違規(guī)移動App功能類型分布

從功能類型來看，存在個人信息違規(guī)問題最多的是辦公學(xué)習(xí)類App，占檢測總量的15.53%；其次是生活實用類App，占檢測總量的10.17%；金融理財類App占檢測總量的5.75%，位居第三。詳見下圖：

個人信息檢測違規(guī)App功能類型分布

數(shù)據(jù)來源：愛加密移動應(yīng)用大數(shù)據(jù)平臺

（三）移動App個人信息安全案例分析

1.越權(quán)設(shè)置密碼

（1）新用戶注冊后，使用驗證碼登錄App，在“我的-設(shè)置”功能中可進(jìn)行密碼修改。

（2）密碼修改請求僅通過user_id區(qū)分用戶。

（3）使用首次登錄過程中抓取的一個不需要原密碼檢驗的密碼設(shè)置接口，此接口可以直接輸入其他用戶的手機號+自己設(shè)置的密碼使密碼修改生效，此時修改密碼不需要校驗原密碼或者短信驗證碼。

結(jié)果分析：App應(yīng)使用安全的會話管理機制，在進(jìn)行修改密碼等敏感操作時嚴(yán)格校驗用戶的身份，避免出現(xiàn)示例中的越權(quán)修改用戶敏感信息情況。

2.數(shù)據(jù)明文傳輸

對App請求與相應(yīng)數(shù)據(jù)包進(jìn)行抓取分析后發(fā)現(xiàn)，某App交互數(shù)據(jù)包均未進(jìn)行加密處理，且返回數(shù)據(jù)內(nèi)可見明文電話號碼、token等信息。

結(jié)果分析：App應(yīng)對涉及個人敏感信息、重要數(shù)據(jù)等的數(shù)據(jù)包加密處理，，并對關(guān)鍵加密算法所在的so庫進(jìn)行加殼、混淆等防護(hù)，保護(hù)App數(shù)據(jù)傳輸及加解密機制安全。

六、第二季度移動App安全風(fēng)險監(jiān)測評估

（一）App帶來便利的同時也隱藏著‘小心機’

在5G移動通信、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)的推動下，我國移動互聯(lián)網(wǎng)產(chǎn)業(yè)正呈現(xiàn)垂直化、專業(yè)化和平臺化趨勢，對推動實體經(jīng)濟(jì)轉(zhuǎn)型、促進(jìn)經(jīng)濟(jì)社會發(fā)展起到了基礎(chǔ)性的支撐作用。人們在使用App的時候，一邊享受它帶來的便利的同時，一邊也深受“彈窗”的困擾，很多的廣告都以彈窗的形式出現(xiàn)在用戶的視野中，且關(guān)閉的按鈕設(shè)置??；有些彈窗也存在用瞞天過海的把戲誘導(dǎo)用戶點擊。相關(guān)部門發(fā)現(xiàn)此問題出現(xiàn)的頻率逐漸增高，針對該違規(guī)行為進(jìn)行了監(jiān)督，并督促企業(yè)完成整改，解決掉在信息頁面中存在利用彈窗誘導(dǎo)、欺騙用戶跳轉(zhuǎn)其他頁面的問題，為廣大群眾創(chuàng)建一個綠色的健康網(wǎng)絡(luò)環(huán)境。

（二）網(wǎng)絡(luò)安全離不開安全技術(shù)和產(chǎn)業(yè)的支撐

沒有網(wǎng)絡(luò)安全就沒有國家安全，嚴(yán)重影響經(jīng)濟(jì)社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障。當(dāng)前，各種形式的網(wǎng)絡(luò)攻擊、惡意代碼、安全漏洞層出不窮，對關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、個人信息安全構(gòu)成嚴(yán)重威脅。網(wǎng)絡(luò)安全的本質(zhì)是技術(shù)對抗，保障網(wǎng)絡(luò)安全離不開網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)的有力支撐。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：