《全国移动 App 第二季度安全研究报告》
近日,移动互联网系统与应用安全国家工程实验室(以下简称:国家工程实验室)、中国信息通信研究院安全研究所(以下简称:信通院)、北京智游网安科技有限公司(爱加密)三方联合发布了《全国移动 App 第二季度安全研究报告》。
本次报告内容包括全国移动 App 概况、移动 App 功能分布、金融类 App 分布情况、本季度增量情况、移动 App 个人信息安全概况、第二季度移动 App 安全风险监测评估。爱加密已连续与国家工程实验室、信通院合作多年,并多次联合发布全国移动 App 安全研究报告,为行业用户了解本行业 App 安全提供了参考,也为个人用户开启了一扇了解当下 App 安全热点的窗户。
一、全国移动 App 概况
根据中国信息通信研究院安全研究所和移动互联网系统与应用安全国家工程实验室(以下简称国家工程实验室)以及北京智游网安科技有限公司(爱加密)移动应用大数据平台提供的数据,截止 6 月底大数据平台共计收录 Android 移动 App 338 万款,其中 70%以上存在高危漏洞威胁;23.86%的 App 嵌入框架类的 SDK。
(一)应用宝移动 App 数量占总量的 21.40%
截止到本季度纳入监测的应用渠道数量总计约 900 个,其中应用数量排名前三列的分别是:应用宝,共计应用 724073 款,占渠道总应用数量的 21.40%;360 市场,共计 616302 款,占总应用数量的 18.21%;豌豆荚,共计 523164 款,占总应用数量的 15.46%。以下是各渠道应用排行前十的情况:
各渠道应用排行 TOP10
数据来源:爱加密移动应用大数据平台
(二)高危漏洞呈逐渐增长趋势
本次主要对 10 类 94 项风险漏洞进行监测分析,发现 70% 以上的 App 存在漏洞风险。约 243 万款 Android 最新版本应用包通过移动应用安全平台进行风险监测,其中,有高危漏洞的 App 约 177 万款,占监测应用总数的 73.05%。本季度排名前三的漏洞分别是:Janus 漏洞、截屏攻击风险、模拟器运行风险。详见下图:
存在漏洞的 App 数量统计图
数据来源:爱加密移动应用大数据平台
(三)第三方 SDK 应用广泛,数据安全存在隐患
第三方 SDK 通常是造成用户个人信息在网上“裸奔”的罪魁祸首。监测发现截止 6 月底,共计 1366601 款 App 嵌入框架类的 SDK,占比 23.86%;1261475 款 App 嵌入工具类的 SDK,占比 22.02%;482967 款 App 嵌入推送类的 SDK,占比 8.43%,详见下图:
不同类型 SDK 对应的 App 分布情况
数据来源:爱加密移动应用大数据平台
(四)各省份移动 App 加固情况相近
从加固 App 区域分布来看,北京、广东省 App 供应商安全意识较强,加固数量最多。
加固 App 省份 Top10
数据来源:爱加密移动应用大数据平台
经统计,安全加固排名前三列的分别是:北京市加固 App 占总量的 24.4%,共计 78279 款;广东省市占总量的 24.0%,共计 77034 款;上海市占总量的 6.9%,共计 22179 款,以下是前十占比情况:
加固 App 数量省份占比前十分布
数据来源:爱加密移动应用大数据平台
北京以 24.4%的市场份额成为汇聚加固 App 数量最多的省份,而青海、澳门、西藏等省份加固 App 数量较少。详情如下:
加固 App 数量较少的省份分布情况
数据来源:爱加密移动应用大数据平台
二、移动 App 功能分布
(一)游戏类 App 稳居市场总应用的首位
从全国移动 App 功能应用细分领域来看,游戏类 App 的数量占据首位,占市场应用的 42.6%,共计 934753 款;生活实用类的 App 占市场应用的 12.3%,共计 269268 款;系统工具类的 App 占市场应用的 7.2%,共计 156857 款。不同细分领域 App 占比如下所示:
不同细分领域 AppTop10 数量及占比
数据来源:爱加密移动应用大数据平台
(二)其他功能 App 分布情况
排名第 4 到第 10 的行业分别是办公学习、资讯阅读、金融理财、拍摄美化,总和未超过 50%。其中:办公学习类 App 共计 143318 款,占比 6.5%;资讯阅读类 App 共计 125997 款,占比 5.7%;金融理财类 App 共计 97573 款,占比 4.4%。详情见下图:
其他功能 App 数量分布
数据来源:爱加密移动应用大数据平台
三、金融类 App 分布概况
(一) 超三成金融类 App 分布在华东地区
金融类 App 遍布全国各地,有 97762 款可以根据区域划分规则明确归属地,以下区域分布仅基于这 97762 款做分析。从大区来看,华东地区 App 数量位居第一,占 App 总量的 36.62%;其次是华南地区,占总量的 31.47%;华北地区位列第三,占总量的 16.81%。详见下图:
App 大区分布图
数据来源:爱加密移动应用大数据平台
(二) 广东省金融类 App 数量居全国第一
从省级区域来看,广东省金融类 App 数量占全国总量的 25.24%,位居第一;北京市金融类 App 数量占全国总量的 14.74%,位居第二;上海市占全国总量的 10.89%,位居第三。以下是排名 TOP10 的情况:
应用数量占比 TOP10
数据来源:爱加密移动应用大数据平台
四、本季度增量情况
(一) Android 应用数量 5 月份环比倍数增长
本季度新增 Android 应用数量共计 85857 个,从月度上看,本季度 Android 应用数量增速 5 月份环比增长最快,环比增加 59.82%,但 6 月新增应用共计 32512 款,环比下降 24.17%。详见图 8:
月度环比增速图
数据来源:爱加密移动应用大数据平台
从应用行业上看,教育类仍是新增移动 App 的主要类别,占新增应用 40.37%;金融类新增数量位列第二,占新增应用 26.21%;政企类新增数量位列第三,占新增应用的 15.31%;详见下图:
新增移动 App 行业 Top10 分布图
数据来源:爱加密移动应用大数据平台
(二) 应用监测渠道增量情况
1.应用监测渠道 4 月增长较快
本季度应用监测新增渠道趋势较为平缓,新增应用渠道共计 31 个,4 月份新增 12 个渠道,6 月份新增 10 个渠道。详见下图:
新增渠道情况
数据来源:爱加密移动应用大数据平台
2.新增渠道中,服务器在广东、湖北、上海的最多
从新增渠道分布区域上看,服务器在广东、湖北、上海的渠道增量最多,占新增渠道 12.90%。详见下图:
新增渠道所属区域
数据来源:爱加密移动应用大数据平台
五、移动 App 个人信息安全概况
(一)个人信息检测违规类型分布情况
2021 年 6 月,针对全国移动 App 进行了个人信息合规性抽样检测,其中, 85.91% 的应用存在“违规收集个人信息”的违规情况; 83.99% 的应用存在“超范围收集个人信息”的违规情况; 28.94% 的应用存在“App 强制、频繁、过度索取权限”的违规情况。综合上述,建议监管机构督促企业加强个人信息相关的法律法规宣传,加强对 App 的开发企业、运营企业的通报处罚力度。作为责任主体,相关企业应做到遵纪守法,按照相关政策标准的要求自查自纠。用户应提高隐私保护意识,提防“流氓”App,注重个人的隐私。个人信息违规类型分布详见下图:
个人信息违规类型分布
数据来源:爱加密移动应用大数据平台
(二)个人信息检测违规移动 App 功能类型分布
从功能类型来看,存在个人信息违规问题最多的是办公学习类 App,占检测总量的 15.53%;其次是生活实用类 App,占检测总量的 10.17%;金融理财类 App 占检测总量的 5.75%,位居第三。详见下图:
个人信息检测违规 App 功能类型分布
数据来源:爱加密移动应用大数据平台
(三)移动 App 个人信息安全案例分析
1.越权设置密码
(1)新用户注册后,使用验证码登录 App,在“我的-设置”功能中可进行密码修改。
(2)密码修改请求仅通过 user_id 区分用户。
(3)使用首次登录过程中抓取的一个不需要原密码检验的密码设置接口,此接口可以直接输入其他用户的手机号+自己设置的密码使密码修改生效,此时修改密码不需要校验原密码或者短信验证码。
结果分析:App 应使用安全的会话管理机制,在进行修改密码等敏感操作时严格校验用户的身份,避免出现示例中的越权修改用户敏感信息情况。
2.数据明文传输
对 App 请求与相应数据包进行抓取分析后发现,某 App 交互数据包均未进行加密处理,且返回数据内可见明文电话号码、token 等信息。
结果分析:App 应对涉及个人敏感信息、重要数据等的数据包加密处理,,并对关键加密算法所在的 so 库进行加壳、混淆等防护,保护 App 数据传输及加解密机制安全。
六、第二季度移动 App 安全风险监测评估
(一)App 带来便利的同时也隐藏着‘小心机’
在 5G 移动通信、大数据、物联网、人工智能等技术的推动下,我国移动互联网产业正呈现垂直化、专业化和平台化趋势,对推动实体经济转型、促进经济社会发展起到了基础性的支撑作用。人们在使用 App 的时候,一边享受它带来的便利的同时,一边也深受“弹窗”的困扰,很多的广告都以弹窗的形式出现在用户的视野中,且关闭的按钮设置小;有些弹窗也存在用瞒天过海的把戏诱导用户点击。相关部门发现此问题出现的频率逐渐增高,针对该违规行为进行了监督,并督促企业完成整改,解决掉在信息页面中存在利用弹窗诱导、欺骗用户跳转其他页面的问题,为广大群众创建一个绿色的健康网络环境。
(二)网络安全离不开安全技术和产业的支撑
没有网络安全就没有国家安全,严重影响经济社会稳定运行,广大人民群众利益也难以得到保障。当前,各种形式的网络攻击、黑客入侵、恶意代码、安全漏洞层出不穷,对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗,保障网络安全离不开网络安全技术和产业的有力支撑。
中国信息通信研究院安全研究所
移动互联网系统与应用安全国家工程实验室
北京智游网安科技有限公司
版权声明: 本文为 InfoQ 作者【InfoQ_11eaedef67e9】的原创文章。
原文链接:【http://xie.infoq.cn/article/4f83ed0b2b691f896ee39aa82】。文章转载请联系作者。
评论