近日,移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室(以下簡稱:國家工程實(shí)驗(yàn)室)、中國信息通信研究院安全研究所(以下簡稱:信通院)、北京智游網(wǎng)安科技有限公司(愛加密)三方聯(lián)合發(fā)布了《全國移動(dòng)App第二季度安全研究報(bào)告》。
本次報(bào)告內(nèi)容包括全國移動(dòng)App概況、移動(dòng)App功能分布、金融類App分布情況、本季度增量情況、移動(dòng)App個(gè)人信息安全概況、第二季度移動(dòng)App安全風(fēng)險(xiǎn)監(jiān)測評(píng)估。愛加密已連續(xù)與國家工程實(shí)驗(yàn)室、信通院合作多年,并多次聯(lián)合發(fā)布全國移動(dòng)App安全研究報(bào)告,為行業(yè)用戶了解本行業(yè) App 安全提供了參考,也為個(gè)人用戶開啟了一扇了解當(dāng)下App 安全熱點(diǎn)的窗戶。
一、全國移動(dòng)App概況
根據(jù)中國信息通信研究院安全研究所和移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室(以下簡稱國家工程實(shí)驗(yàn)室)以及北京智游網(wǎng)安科技有限公司(愛加密)移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)提供的數(shù)據(jù),截止6月底大數(shù)據(jù)平臺(tái)共計(jì)收錄Android移動(dòng)App 338萬款,其中70%以上存在高危漏洞威脅;23.86%的App嵌入框架類的SDK。
(一)應(yīng)用寶移動(dòng)App數(shù)量占總量的21.40%
截止到本季度納入監(jiān)測的應(yīng)用渠道數(shù)量總計(jì)約900個(gè),其中應(yīng)用數(shù)量排名前三列的分別是:應(yīng)用寶,共計(jì)應(yīng)用724073款,占渠道總應(yīng)用數(shù)量的21.40%;360市場,共計(jì)616302款,占總應(yīng)用數(shù)量的18.21%;豌豆莢,共計(jì)523164款,占總應(yīng)用數(shù)量的15.46%。以下是各渠道應(yīng)用排行前十的情況:
各渠道應(yīng)用排行TOP10
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
(二)高危漏洞呈逐漸增長趨勢
本次主要對(duì)10類94項(xiàng)風(fēng)險(xiǎn)漏洞進(jìn)行監(jiān)測分析,發(fā)現(xiàn)70%以上的App存在漏洞風(fēng)險(xiǎn)。約243萬款A(yù)ndroid最新版本應(yīng)用包通過移動(dòng)應(yīng)用安全平臺(tái)進(jìn)行風(fēng)險(xiǎn)監(jiān)測,其中,有高危漏洞的App約177萬款,占監(jiān)測應(yīng)用總數(shù)的73.05%。本季度排名前三的漏洞分別是:Janus漏洞、截屏攻擊風(fēng)險(xiǎn)、模擬器運(yùn)行風(fēng)險(xiǎn)。詳見下圖:
存在漏洞的App數(shù)量統(tǒng)計(jì)圖
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
(三)第三方SDK應(yīng)用廣泛,數(shù)據(jù)安全存在隱患
第三方SDK通常是造成用戶個(gè)人信息在網(wǎng)上“裸奔”的罪魁禍?zhǔn)住1O(jiān)測發(fā)現(xiàn)截止6月底,共計(jì)1366601款A(yù)pp嵌入框架類的SDK,占比23.86%;1261475款A(yù)pp嵌入工具類的SDK,占比22.02%;482967款A(yù)pp嵌入推送類的SDK,占比8.43%,詳見下圖:
不同類型SDK對(duì)應(yīng)的App分布情況
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
(四)各省份移動(dòng)App加固情況相近
從加固App區(qū)域分布來看,北京、廣東省App供應(yīng)商安全意識(shí)較強(qiáng),加固數(shù)量最多。
加固App省份Top10
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
經(jīng)統(tǒng)計(jì),安全加固排名前三列的分別是:北京市加固App占總量的24.4%,共計(jì)78279款;廣東省市占總量的24.0%,共計(jì)77034款;上海市占總量的6.9%,共計(jì)22179款,以下是前十占比情況:
加固App數(shù)量省份占比前十分布
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
北京以24.4%的市場份額成為匯聚加固App數(shù)量最多的省份,而青海、澳門、西藏等省份加固App數(shù)量較少。詳情如下:
加固App數(shù)量較少的省份分布情況
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
二、移動(dòng)App功能分布
(一)游戲類App穩(wěn)居市場總應(yīng)用的首位
從全國移動(dòng)App功能應(yīng)用細(xì)分領(lǐng)域來看,游戲類App的數(shù)量占據(jù)首位,占市場應(yīng)用的42.6%,共計(jì)934753款;生活實(shí)用類的App占市場應(yīng)用的12.3%,共計(jì)269268款;系統(tǒng)工具類的App占市場應(yīng)用的7.2%,共計(jì)156857款。不同細(xì)分領(lǐng)域App占比如下所示:
不同細(xì)分領(lǐng)域AppTop10數(shù)量及占比
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
(二)其他功能App分布情況
排名第4到第10的行業(yè)分別是辦公學(xué)習(xí)、資訊閱讀、金融理財(cái)、拍攝美化,總和未超過50%。其中:辦公學(xué)習(xí)類App共計(jì)143318款,占比6.5%;資訊閱讀類App共計(jì)125997款,占比5.7%;金融理財(cái)類App共計(jì)97573款,占比4.4%。詳情見下圖:
其他功能App數(shù)量分布
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
三、金融類App分布概況
(一) 超三成金融類App分布在華東地區(qū)
金融類App遍布全國各地,有97762款可以根據(jù)區(qū)域劃分規(guī)則明確歸屬地,以下區(qū)域分布僅基于這97762款做分析。從大區(qū)來看,華東地區(qū)App數(shù)量位居第一,占App總量的36.62%;其次是華南地區(qū),占總量的31.47%;華北地區(qū)位列第三,占總量的16.81%。詳見下圖:
App大區(qū)分布圖
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
(二) 廣東省金融類App數(shù)量居全國第一
從省級(jí)區(qū)域來看,廣東省金融類App數(shù)量占全國總量的25.24%,位居第一;北京市金融類App數(shù)量占全國總量的14.74%,位居第二;上海市占全國總量的10.89%,位居第三。以下是排名TOP10的情況:
應(yīng)用數(shù)量占比TOP10
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
四、本季度增量情況
(一) Android應(yīng)用數(shù)量5月份環(huán)比倍數(shù)增長
本季度新增Android應(yīng)用數(shù)量共計(jì)85857個(gè),從月度上看,本季度Android應(yīng)用數(shù)量增速5月份環(huán)比增長最快,環(huán)比增加59.82%,但6月新增應(yīng)用共計(jì)32512款,環(huán)比下降24.17%。詳見圖8:
月度環(huán)比增速圖
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
從應(yīng)用行業(yè)上看,教育類仍是新增移動(dòng)App的主要類別,占新增應(yīng)用40.37%;金融類新增數(shù)量位列第二,占新增應(yīng)用26.21%;政企類新增數(shù)量位列第三,占新增應(yīng)用的15.31%;詳見下圖:
新增移動(dòng)App行業(yè)Top10分布圖
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
(二) 應(yīng)用監(jiān)測渠道增量情況
1.應(yīng)用監(jiān)測渠道4月增長較快
本季度應(yīng)用監(jiān)測新增渠道趨勢較為平緩,新增應(yīng)用渠道共計(jì)31個(gè),4月份新增12個(gè)渠道,6月份新增10個(gè)渠道。詳見下圖:
新增渠道情況
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
2.新增渠道中,服務(wù)器在廣東、湖北、上海的最多
從新增渠道分布區(qū)域上看,服務(wù)器在廣東、湖北、上海的渠道增量最多,占新增渠道12.90%。詳見下圖:
新增渠道所屬區(qū)域
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
五、移動(dòng)App個(gè)人信息安全概況
(一)個(gè)人信息檢測違規(guī)類型分布情況
2021年6月,針對(duì)全國移動(dòng)App進(jìn)行了個(gè)人信息合規(guī)性抽樣檢測,其中,85.91%的應(yīng)用存在“違規(guī)收集個(gè)人信息”的違規(guī)情況;83.99%的應(yīng)用存在“超范圍收集個(gè)人信息”的違規(guī)情況;28.94%的應(yīng)用存在“App強(qiáng)制、頻繁、過度索取權(quán)限”的違規(guī)情況。綜合上述,建議監(jiān)管機(jī)構(gòu)督促企業(yè)加強(qiáng)個(gè)人信息相關(guān)的法律法規(guī)宣傳,加強(qiáng)對(duì)App的開發(fā)企業(yè)、運(yùn)營企業(yè)的通報(bào)處罰力度。作為責(zé)任主體,相關(guān)企業(yè)應(yīng)做到遵紀(jì)守法,按照相關(guān)政策標(biāo)準(zhǔn)的要求自查自糾。用戶應(yīng)提高隱私保護(hù)意識(shí),提防“流氓”App,注重個(gè)人的隱私。個(gè)人信息違規(guī)類型分布詳見下圖:
個(gè)人信息違規(guī)類型分布
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
(二)個(gè)人信息檢測違規(guī)移動(dòng)App功能類型分布
從功能類型來看,存在個(gè)人信息違規(guī)問題最多的是辦公學(xué)習(xí)類App,占檢測總量的15.53%;其次是生活實(shí)用類App,占檢測總量的10.17%;金融理財(cái)類App占檢測總量的5.75%,位居第三。詳見下圖:
個(gè)人信息檢測違規(guī)App功能類型分布
數(shù)據(jù)來源:愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)
(三)移動(dòng)App個(gè)人信息安全案例分析
1.越權(quán)設(shè)置密碼
(1)新用戶注冊(cè)后,使用驗(yàn)證碼登錄App,在“我的-設(shè)置”功能中可進(jìn)行密碼修改。
(2)密碼修改請(qǐng)求僅通過user_id區(qū)分用戶。
(3)使用首次登錄過程中抓取的一個(gè)不需要原密碼檢驗(yàn)的密碼設(shè)置接口,此接口可以直接輸入其他用戶的手機(jī)號(hào)+自己設(shè)置的密碼使密碼修改生效,此時(shí)修改密碼不需要校驗(yàn)原密碼或者短信驗(yàn)證碼。
結(jié)果分析:App應(yīng)使用安全的會(huì)話管理機(jī)制,在進(jìn)行修改密碼等敏感操作時(shí)嚴(yán)格校驗(yàn)用戶的身份,避免出現(xiàn)示例中的越權(quán)修改用戶敏感信息情況。
2.數(shù)據(jù)明文傳輸
對(duì)App請(qǐng)求與相應(yīng)數(shù)據(jù)包進(jìn)行抓取分析后發(fā)現(xiàn),某App交互數(shù)據(jù)包均未進(jìn)行加密處理,且返回?cái)?shù)據(jù)內(nèi)可見明文電話號(hào)碼、token等信息。
結(jié)果分析:App應(yīng)對(duì)涉及個(gè)人敏感信息、重要數(shù)據(jù)等的數(shù)據(jù)包加密處理,,并對(duì)關(guān)鍵加密算法所在的so庫進(jìn)行加殼、混淆等防護(hù),保護(hù)App數(shù)據(jù)傳輸及加解密機(jī)制安全。
六、第二季度移動(dòng)App安全風(fēng)險(xiǎn)監(jiān)測評(píng)估
(一)App帶來便利的同時(shí)也隱藏著‘小心機(jī)’
在5G移動(dòng)通信、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)的推動(dòng)下,我國移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)正呈現(xiàn)垂直化、專業(yè)化和平臺(tái)化趨勢,對(duì)推動(dòng)實(shí)體經(jīng)濟(jì)轉(zhuǎn)型、促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展起到了基礎(chǔ)性的支撐作用。人們?cè)谑褂肁pp的時(shí)候,一邊享受它帶來的便利的同時(shí),一邊也深受“彈窗”的困擾,很多的廣告都以彈窗的形式出現(xiàn)在用戶的視野中,且關(guān)閉的按鈕設(shè)置小;有些彈窗也存在用瞞天過海的把戲誘導(dǎo)用戶點(diǎn)擊。相關(guān)部門發(fā)現(xiàn)此問題出現(xiàn)的頻率逐漸增高,針對(duì)該違規(guī)行為進(jìn)行了監(jiān)督,并督促企業(yè)完成整改,解決掉在信息頁面中存在利用彈窗誘導(dǎo)、欺騙用戶跳轉(zhuǎn)其他頁面的問題,為廣大群眾創(chuàng)建一個(gè)綠色的健康網(wǎng)絡(luò)環(huán)境。
(二)網(wǎng)絡(luò)安全離不開安全技術(shù)和產(chǎn)業(yè)的支撐
沒有網(wǎng)絡(luò)安全就沒有國家安全,嚴(yán)重影響經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行,廣大人民群眾利益也難以得到保障。當(dāng)前,各種形式的網(wǎng)絡(luò)攻擊、惡意代碼、安全漏洞層出不窮,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、個(gè)人信息安全構(gòu)成嚴(yán)重威脅。網(wǎng)絡(luò)安全的本質(zhì)是技術(shù)對(duì)抗,保障網(wǎng)絡(luò)安全離不開網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)的有力支撐。
免責(zé)聲明:市場有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣依據(jù)。
關(guān)鍵詞:
營業(yè)執(zhí)照公示信息