正文
3月22日,中国互联网络信息中心(CNNIC)发布
第53次《中国互联网络发展状况统计报告》
。该报告显示,截至2023年12月,我国网民规模达
10.92
亿
,其中手机网民规模达
10.91亿
, 占比高达
99.9%
。
通信、消费、购物、出行、娱乐......APP 已实现生活场景的全覆盖,以手机等移动智能设备为载体的移动互联网应用程序已成为日常生活中不可或缺的关键要素。同时,
恶意软件日益猖獗,
个人信息违规收集、数据恶意滥用等风险问题层出不穷 ,对个人及企业的数据和财产安全构成严重威胁。
近期,梆梆安全发布
《2024年Q1移动应用安全风险报告》
,
以梆梆安全移动应用监管平台2024年Q1监测、分析的移动应用安全态势为基础,为大家持续分析国内移动应用攻击技术及安全趋势发展,
为移动应用安全建设提供帮助和指航。
梆梆安全移动应用监管平台对国内外 1000+ 活跃应用市场实时监测的数据显示,
2024年1月1日至2024年3月31日发布的应用中,归属全国的 Android 应用总量为
179386 款
,涉及开发者总量
54180
家。
从 APP 分布的区域来看,
北京市 APP 数量位居第一,约占全国 APP 总量的21.42%,
位居第二、第三的区域分别是广东省和上海市,对应归属的 APP 数量是34349、17140个。具体分布如图1所示。
图1 全国APP区域分布图TOP10
从 APP 的功能和用途类型来看,
实用工具类
APP 数量稳居首位,占全国 APP 总量的 17.75% ;
教育学习类
APP 位居第二,占全国 APP 总量的 12.17% ;
其他类
APP 排名第三,占全国 APP总量的9.39% 。各类型 APP 占比情况如图2所示。
图2 全国APP类型分布TOP10
梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎,对全国 Android 应用进行抽样检测,风险应用从
盗版(仿冒)、境外数据传输、高危漏洞、个人隐私违规
4个维度综合统计,风险应用数量具体如图3所示。
图3 风险应用4个维度综合统计
从全国 Android APP 中随机抽取 76551 款进行漏洞检测发现,存在漏洞威胁的 APP为 61291 个,
即80.89%的 APP 存在中高危漏洞风险
。在61921款漏洞应用中,有高危风险等级漏洞的 APP 占比77.48%,中危占比97.61%(同一个应用可能存在多个等级漏洞)。
对不同类型的漏洞进行统计,大部分安全漏洞可以通过应用加固方案解决。应用漏洞数量排名前三的类型分别为
JAVA 代码反编译风险、
HTTPS 未校验主机名漏洞及动态注册 Receiver 风险。
从 APP 类型来看,
其他类
APP 存在的漏洞风险最多,占漏洞 APP 总量的 20.01%;其次为
实用工具类
APP,占比15.52%;
教育学习类
APP 位居第三,占比9.88%。漏洞数量排名前10的类型如图4所示。
图4 存在漏洞的APP类型TOP10
盗版 APP,指未经版权所有人同意或授权的情况下,利用非法手段在原 APP 中加入恶意代码,进行二次发布,造成用户信息被泄露、手机感染病毒或者其他安全危害的 APP。从全国的 Android APP 中随机抽取 791 款进行盗版(仿冒)引擎分析,检测出盗版(仿冒)APP 791 个,其中,
实用工具、生活服务、新闻阅读类 APP 是山寨 APP 的重灾区
,各类型占比情况如图5所示。
图5 盗版(仿冒)APP类型TOP10
2024年3月22日,中央网络安全和信息化委员会办公室正式发布
《促进和规范数据跨境流动规定》
,同时发布
《数据出境安全评估申报指南(第二版)》
和
《个人信息出境标准合同备案指南(第二版)》
以指导企业落实数据出境合规义务,充分体现我国通过加强数据跨境监管,维护国家安全的监管思路。
从全国的 Android APP 中随机抽取10621款 Android APP 进行境外数据传输引擎分析,发现其中
2220款
应用存在往境外的IP传输数据的情况,从统计数据来
看,发往澳大利亚的最多,占比
70.36%
;其次是发往美国的,占比
25%
,数据传输至境外国家占比排行情况如图6所示。
不论是针对移动应用程序自身程序代码的数据外发行为,还是针对第三方 SDK 的境外数据外发行为,都建议监管部门加强对数据出境行为的监管。
图6 数据传输至境外国家占比排行TOP10
从 APP 类型来看,
其他类
APP 往境外 IP 传输数据的情况最多,占境外传输 APP 总量的25.54% ;其次为
实用工具类
APP,占比15. 72% ;
游戏娱乐类
APP 占境外传输数据 APP 总量的7.93% ,位列第三,
各类型占比情况如图7所示。
图7 境外传输数据APP各类型占比排行TOP10
作为联网才能正常工作的移动应用,采集网络权限、系统权限以及 WiFi 权限比较正常,但
移动应用是否应该采集用户短信、电话以及位置等“危险权限”, 需要根据应用本身的合法业务需求进行分析
。基于国家《信息安全技术 个人信息安全规范》《APP 违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求,从全国 Android APP 中随机抽取10621款进行合规引擎分析,检测出
62.56
%的 APP 涉及隐私违规现象,如违规收集个人信息,APP 强制、频繁、过度索取权限,APP 频繁自启动和关联启动等。
各违规类型占比情况如图8所示。
图8 个人隐私违规类型占比情况
从 APP 类型来看,
其他
类
APP 存在的个人隐私违规问题最多,占检测总量的22.4% ,其中五成以上的其他类 APP 涉及频繁申请权限问题;
实用工具类
APP 存在的隐私违规问题占检测总量的14.89% ,位居第二;
教育学习类
APP 存在的隐私违规问题占检测总量的9.3% ,位居第三。
涉及个人隐私违规 APP 各类型占比如图9所示。
图
9
个人隐私违规
APP类型TOP10
第三方 SDK 是由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包,APP 开发者、运营者出于开发成本、运行效率考量,普遍在 APP 开发设计过程中使用第三方软件开发包(SDK)简化开发流程。
从全国
的
Android
A
