导语:梆梆安全发布《2024年Q1移动应用安全风险报告》。
3月22日,中国互联网络信息中心(CNNIC)发布第53次《中国互联网络发展状况统计报告》。该报告显示,截至2023年12月,我国网民规模达10.92亿,其中手机网民规模达10.91亿, 占比高达99.9%。
通信、消费、购物、出行、娱乐......APP 已实现生活场景的全覆盖,以手机等移动智能设备为载体的移动互联网应用程序已成为日常生活中不可或缺的关键要素。同时,恶意软件日益猖獗,个人信息违规收集、数据恶意滥用等风险问题层出不穷 ,对个人及企业的数据和财产安全构成严重威胁。
近期,梆梆安全发布《2024年Q1移动应用安全风险报告》,以梆梆安全移动应用监管平台2024年Q1监测、分析的移动应用安全态势为基础,为大家持续分析国内移动应用攻击技术及安全趋势发展,为移动应用安全建设提供帮助和指航。
1 全国移动应用概况
梆梆安全移动应用监管平台对国内外 1000+ 活跃应用市场实时监测的数据显示,2024年1月1日至2024年3月31日发布的应用中,归属全国的 Android 应用总量为 179386 款,涉及开发者总量 54180 家。
从 APP 分布的区域来看,北京市 APP 数量位居第一,约占全国 APP 总量的21.42%,位居第二、第三的区域分别是广东省和上海市,对应归属的 APP 数量是34349、17140个。具体分布如图1所示。
图1 全国APP区域分布图TOP10
从 APP 的功能和用途类型来看,实用工具类 APP 数量稳居首位,占全国 APP 总量的 17.75% ;教育学习类 APP 位居第二,占全国 APP 总量的 12.17% ;其他类 APP 排名第三,占全国 APP总量的9.39% 。各类型 APP 占比情况如图2所示。
图2 全国APP类型分布TOP10
2 全国移动应用安全分析概况
梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎,对全国 Android 应用进行抽样检测,风险应用从盗版(仿冒)、境外数据传输、高危漏洞、个人隐私违规4个维度综合统计,风险应用数量具体如图3所示。
图3 风险应用4个维度综合统计
01 漏洞风险分析
从全国 Android APP 中随机抽取 76551 款进行漏洞检测发现,存在漏洞威胁的 APP为 61291 个,即80.89%的 APP 存在中高危漏洞风险。在61921款漏洞应用中,有高危风险等级漏洞的 APP 占比77.48%,中危占比97.61%(同一个应用可能存在多个等级漏洞)。
对不同类型的漏洞进行统计,大部分安全漏洞可以通过应用加固方案解决。应用漏洞数量排名前三的类型分别为 JAVA 代码反编译风险、HTTPS 未校验主机名漏洞及动态注册 Receiver 风险。
从 APP 类型来看,其他类 APP 存在的漏洞风险最多,占漏洞 APP 总量的 20.01%;其次为实用工具类 APP,占比15.52%;教育学习类 APP 位居第三,占比9.88%。漏洞数量排名前10的类型如图4所示。
图4 存在漏洞的APP类型TOP10
02 盗版(仿冒)风险分析
盗版 APP,指未经版权所有人同意或授权的情况下,利用非法手段在原 APP 中加入恶意代码,进行二次发布,造成用户信息被泄露、手机感染病毒或者其他安全危害的 APP。从全国的 Android APP 中随机抽取 791 款进行盗版(仿冒)引擎分析,检测出盗版(仿冒)APP 791 个,其中,实用工具、生活服务、新闻阅读类 APP 是山寨 APP 的重灾区,各类型占比情况如图5所示。
图5 盗版(仿冒)APP类型TOP10
03 境外传输数据分析
2024年3月22日,中央网络安全和信息化委员会办公室正式发布《促进和规范数据跨境流动规定》,同时发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》以指导企业落实数据出境合规义务,充分体现我国通过加强数据跨境监管,维护国家安全的监管思路。
从全国的 Android APP 中随机抽取10621款 Android APP 进行境外数据传输引擎分析,发现其中2220款应用存在往境外的IP传输数据的情况,从统计数据来看,发往澳大利亚的最多,占比70.36% ;其次是发往美国的,占比25% ,数据传输至境外国家占比排行情况如图6所示。不论是针对移动应用程序自身程序代码的数据外发行为,还是针对第三方 SDK 的境外数据外发行为,都建议监管部门加强对数据出境行为的监管。
图6 数据传输至境外国家占比排行TOP10
从 APP 类型来看,其他类 APP 往境外 IP 传输数据的情况最多,占境外传输 APP 总量的25.54% ;其次为实用工具类 APP,占比15. 72% ;游戏娱乐类 APP 占境外传输数据 APP 总量的7.93% ,位列第三,各类型占比情况如图7所示。
图7 境外传输数据APP各类型占比排行TOP10
04 个人隐私违规分析
作为联网才能正常工作的移动应用,采集网络权限、系统权限以及 WiFi 权限比较正常,但移动应用是否应该采集用户短信、电话以及位置等“危险权限”, 需要根据应用本身的合法业务需求进行分析 。基于国家《信息安全技术 个人信息安全规范》《APP 违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求,从全国 Android APP 中随机抽取10621款进行合规引擎分析,检测出62.56%的 APP 涉及隐私违规现象,如违规收集个人信息,APP 强制、频繁、过度索取权限,APP 频繁自启动和关联启动等。各违规类型占比情况如图8所示。
图8 个人隐私违规类型占比情况
从 APP 类型来看,其他类 APP 存在的个人隐私违规问题最多,占检测总量的22.4% ,其中五成以上的其他类 APP 涉及频繁申请权限问题;实用工具类 APP 存在的隐私违规问题占检测总量的14.89% ,位居第二;教育学习类 APP 存在的隐私违规问题占检测总量的9.3% ,位居第三。涉及个人隐私违规 APP 各类型占比如图9所示。
图9 个人隐私违规APP类型TOP10
05 第三方SDK风险分析
第三方 SDK 是由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包,APP 开发者、运营者出于开发成本、运行效率考量,普遍在 APP 开发设计过程中使用第三方软件开发包(SDK)简化开发流程。从全国的Android APP 中随机抽取71165款进行第三方 SDK 引擎分析,检测出95.88%的应用内置了第三方 SDK。如果 SDK 有安全漏洞,可能导致包含该 SDK 的应用程序受到攻击。
从 APP 类型来看,其他类 APP 内置第三方 SDK 的数量最多,占比19.56%;其次为实用工具类 APP,占比15.63%;教育学习类 APP 位列第三,占比10.62%,第三方 SDK 应用各类型占比见图10。
图10 第三方SDK应用各类型占比TOP10
06 应用加固现状分析
随着移动 APP 渗透到人们生活的方方面面,黑灰产业也随之壮大,应用若没有防护,则无异于“裸奔”,对 APP 进行安全加固可有效防止其被逆向分析、反编译、二次打包、恶意篡改等。从全国的 Android APP 中随机抽取119057款进行加固引擎检测,检测出已加固的应用仅占应用总量的35.44%。
从应用类型来看,金融理财类 APP 加固率最高,占金融理财类 APP 总量的69.93% ;其次为党政机关类 APP,占党政机关类 APP 总量的69.53% ;排在第三位的为拍摄美化类 APP,占拍摄美化类 APP 总量的48.02%。已加固 APP 占比排名前10的应用类型如图11所示。
图11 已加固APP类型占比排行TOP10
在信息技术应用创新发展的大趋势下,梆梆安全始终以客户为中心,以持续的研发投入和产品创新,从技术、服务两个层面建立全面的移动应用安全和物联网安全防护生态体系,构建了应用设计开发、应用测试、应用发布、应用运维在内的 APP 全生命周期安全解决方案,形成从保护、加固、检测到监管、测评、响应的全栈产品和服务能力,深入治理 APP、小程序、快应用等应用程序乱象,已经成为各行业厂商值得信赖的合作伙伴。
数字时代,移动互联网持续渗透,推动数字化、信息化深入社会生活发展的方方面面,移动端渠道的业务重要性与安全性的要求越来越高。在移动应用数量和业务丰富度爆发式增长的当下,梆梆安全勇担“保护您的软件”的企业使命,致力于应用技术百家争鸣,应用体验百花齐放,让互联网用户拥有更美好、更安全、更合规的数智生活。
如若转载,请注明原文地址