《2021年全国移动应用安全观测报告》

2022-1-24 16:59:2 Author: www.freebuf.com 阅读量:4 收藏

当前,我国网络安全形势依然严峻,在大数据时代下,网络安全存在着病毒威胁、网络诈骗、黑客入侵、信息丢失等各种安全隐患。数字时代的网络安全面临着更多未知风险,已经从个人和企业,延伸到了基础服务甚至社会的安全和稳定。“没有网络安全就没有国家安全,没有信息化就没有现代化。要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。”为扎实推进网络强国建设,给网络安全提供有力的法律支撑,全面加强网络安全保障体系和能力建设,《关键信息基础设施安全保护条例》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》陆续施行,共同构建了我国网络数据法律体系框架,数据安全、互联网市场秩序制度不断完善,网络生态治理和信息内容安全管理不断加强。

近几年来,工信部持续推进APP侵害用户权益专项整治行动,加大常态化检查力度,并针对APP超范围、高频次索取权限,非服务场景所必须收集用户个人信息,欺骗误导用户下载等违规行为进行了检查,并对未按要求完成整改的APP进行了公开通报。工信部加快发布实施《移动互联网应用程序个人信息保护管理规定》,持续开展专项整治、突出整治重点问题、加大技术检测,从完善制度、强化监管、优化感知等多个方面入手,开展综合治理,打好组合拳,为用户营造一个安全可靠的信息通信环境。

2021年以来,移动互联网产业展现出新的发展活力和韧性,与各行各业需求融合,形成线上线下协同发展相互促进的良好局面。本章主要介绍全国移动互联网应用的基本情况并进行分析。

1.1 全国移动互联网应用总量综合情况

截止到2021年12月31日,爱加密移动应用安全大数据平台收录全国Android应用共计3549293款,iOS应用共计2392332款,微信公众号5462577个,微信小程序858688个。2021年度,全国总计新增应用265222款,年增幅为8.08%。四个季度的增幅分别如下:

2021年全国各季度应用新增量及增幅对比

1.2 全国移动互联网应用地域分布情况

全国3549293款应用中,有671356款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这671356款做分析。从区域来看,广东省应用产量位居第一,占全国应用总量的29.82%;其次是北京市,占总量的18.96%;上海市位列第三,占总量的9.16%。以下是全国应用地域分布TOP10:

全国应用区域分布情况TOP10

1.3 全国移动互联网应用渠道排名情况

截止到2021年12月31日,爱加密移动应用安全大数据平台纳入监测的应用渠道数量总计约900+个。全国应用数量排名前三的应用商店分别是:应用宝,占总应用数量的20.55%;豌豆荚,占总应用数量的19.77%;360市场,占总应用数量的17.45%。以下是各渠道应用排行前十的情况:

全国应用在各渠道应用量排行TOP10

1.4 全国移动互联网应用下载量情况

截止到2021年12月31日,结合各渠道的下载量统计,考虑渠道的权重(渠道的影响力,公信力,专业度)等综合因素进行分析,全国累计下载量排名前列的应用分别是:拼多多624亿次,抖音601亿次。2021年中,新增下载量最多的应用是中华人民共和国公安部开发的“国家反诈中心”,下载量达到了14亿次,突显本年度监管部门加强了反诈方面的宣传,同时也有越来越多的公民认识到到反诈骗的重要性。以下是应用下载量TOP10排行情况:

全国应用下载量排行TOP10

1.5 全国活跃的移动互联网应用各功能类型分布情况

截止到2021年12月31日,全国活跃应用(三个月内有更新的应用)总计104052款。从功能类型来看,游戏类应用活跃度较高,占全国活跃应用总量的33.82%,位居第一;生活实用类应用数量占全国活跃应用的6.79%,位居第二;办公学习类应用数量占全国活跃应用的6.34%,位居第三。

全国活跃应用功能分类情况

移动互联网应用在收集个人信息时,应当根据业务需要收集用户信息,必须遵循“最小必要”的基本准则。但随着移动互联网应用收集用户个人信息的技术实现途径多样化,其中有部分出现了违规收集的情况,包括违规收集个人信息,或通过文字游戏诱导用户同意;另一种是未以清晰限定收集的目的、方式及范围,例如超范围收集个人信息,给用户隐私和利益带来潜在风险和危害。本章主要介绍全国有关移动互联网应用在个人信息收集方面的情况并进行分析。

2.1 个人信息检测违规情况

截止到2021年12月31日,针对全国应用进行了个人信息合规性抽样检测,全国总计送检32万+款应用。其中,存在“违规收集个人信息”的占比39.40%;存在“超范围收集个人信息”的占比38.67%;存在“App强制、频繁、过度索取权限”的占比为11.58%。开发企业、运营企业作为责任主体应提高认识,严格自律,而广大用户则需要提高隐私保护意识,不轻易安装来源不明的移动应用。详见下图:

个人信息违规类型分布

2.2 个人信息违规应用功能类型分布情况

从功能类型分类来看,存在违规问题的游戏类应用占该类型应用检测总量的60.15%,位居第一;其次是网上购物类占该类型应用检测总量的58.81%,位居第二;生活实用类占该类型应用检测总量的56.68%,位居第三。

个人信息检测违规应用功能类型分布

2.3 应用收集个人信息相关权限情况

2021年爱加密针对22万+款应用进行收集个人信息相关权限分析,其中,申请储存相关权限的应用最多,占检测总量的72.43%;其次是申请电话相关权限的应用,占检测总量的60.70%;排名第三的是申请位置相关权限的应用,占检测总量的39.17%。下图为各类型权限的详细信息:

应用收集个人信息相关权限TOP10

2.4 本年度工信部通报违规收集个人信息的应用渠道监测情况

2021年,爱加密通过跟踪工信部通报的11批次总计1561款移动应用相关版本的有效下载渠道,发现截止到12月仍有487款应用在部分渠道可以有效下载。从渠道分布来看,百度手机助手仍有139款通报应用可以下载,占可下载通报应用总量的28.54%,排名第一;其次是PC6市场,仍有50款通报应用可以下载,占总量的10.27%;排名第三的是腾牛网,仍有43款通报应用可以下载,占总量的8.83%。

通报下架应用的有效渠道分布TOP10

2.5 数据跨境传输目的地分布情况

据个人信息合规性抽样检测结果显示,检测到移动应用关联境外IP或者域名共计24648款,数据流向多个国家和地区。具体来看,排名第一的目的地是美国,占比72.67%;排名第二的是中国香港,占比28.49%;排名第三的是新加坡,占比7.23%。值得注意的是,移动应用还存在将程序代码等数据直接外发或通过第三方SDK向境外传输数据的行为。

数据跨境传输目的地TOP10

2.6 数据明文传输类型情况

据个人信息合规性检测结果显示,有38096款移动应用存在“明文传输”的违规情况。从传输个人信息类型进行分析来看:存在“明文传输”的违规应用中传输“个人常用设备信息”的应用占比最高,达到了49.69%;其次是传输“个人基本资料”的应用,占比为45.16%;排名第三是传输“网络身份标识信息”的应用,占比为29.72%。用户的个人信息在信息传输过程中造成个人信息泄漏,建议有关机构督促开发者针对“传输”做到加密处理。下图为存在明文传输应用中传输个人信息类型详情:

传输个人信息类型

回顾 2021 年,移动应用安全事件频发,如 2021 年最大的移动应用数据泄露事件之一,Apple iMessage中的一个零日漏洞,使iPhone、iPad、Watches和MacBooks的9亿活跃用户暴露于NSO Group间谍软件威胁之下。大多数移动应用安全事件是由相同的漏洞、不安全的编码实践,以及缺乏足够的安全测试造成的。本章主要介绍全国移动应用存在的漏洞风险等级、漏洞类型、漏洞应用功能分类等情况。

3.1 近年来应用存在高危风险漏洞变化情况

截止到2021年12月31日,爱加密移动应用安全大数据平台利用安全检测引擎,对全国2788609款应用进行104项漏洞扫描,74.87%以上的应用存在高危漏洞风险。近三年检测出存在高危漏洞的应用占比变化如下:

近三年检测出存在高危漏洞的应用占比变化

3.2 各风险漏洞类型应用排行情况

全国2788609款Android应用通过移动应用安全平台进行风险检测,其中,有高危漏洞的应用约2087884款,占应用总数的89.89%。本年度排名前三的漏洞分别是:“Janus漏洞”、“截屏攻击风险”、“未移除有风险的WebView系统隐藏接口漏洞”。详见下图:

漏洞类型应用排行

3.3 各功能类型存在高危风险漏洞的应用排行情况

从功能类型来看,主题壁纸类存在高危漏洞风险的应用数量占该类型应用检测总量的69.10%,位居第一;其次是金融理财类,占该类型应用检测总量的67.52%;第三是影音播放类,占该类型应用检测总量的65.46%。存在高危漏洞最多的应用如果受到攻击容易导致用户的隐私泄露或直接财产损失,监管机构应加强对相关类型应用的监管,同时应用开发者安全意识不足,应采取有效措施如通过使用应用加固,防范应对网络攻击,保障系统的平稳、安全运行。

功能类型存在高危漏洞风险的应用占比排行

近年来,受高额利益驱使,一些人员通过制售木马病毒、开发攻击软件,窃取数据牟利,威胁企业、个人数据安全,甚至威胁关键信息基础设施安全。全国公安机关开展“净网2021”专项行动,抓获犯罪团伙341个,有力保障了重要信息系统和网络安全,也有力保护了公民个人信息。本章主要介绍全国移动互联网恶意应用的分布情况并进行分析。

4.1 主要恶意程序风险描述

截至2021年12月,全国累计含有恶意程序的应用300551款,其中恶意程序类型以“流氓行为”为主,这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。详见下图:

恶意程序类型统计表

4.2 渠道恶意应用分布情况

截止到2021年12月31日,恶意程序渠道分布量排列第一的是应用宝,占恶意程序总量的22.69%;其次是豌豆荚,占恶意程序总量的15.07%;排列第三的是免费市场,占恶意程序总量的7.61%。详情如下图:

渠道恶意应用分布TOP10

4.3 恶意应用功能类型分布情况

从功能类型来看,游戏应用类存在恶意应用的数量占全国恶意应用总量的31.45%,位居第一;金融理财类存在恶意应用的数量占全国恶意应用总量的5.09%,位居第二;生活实用类存在恶意应用的数量占全国恶意应用总量的4.91%,位居第三。存在恶意应用最多的功能类型是游戏应用类,远远超过其它类型,需要加强对这类恶意应用的排查。详情见下图:

恶意应用功能类型分布TOP10

对移动互联网应用开发者来说,为了提高开发效率、降低成本,可以将某项功能交给第三方来开发,第三方服务提供商将服务封装为工具包(即SDK)供开发者使用。因此,SDK广泛应用在移动互联网应用设计开发阶段,但同时也存在着自身安全漏洞、隐瞒收集个人信息等安全风险。本章主要介绍全国收录的SDK概况及移动互联网应用嵌入SDK的情况并进行分析。

5.1 各类型SDK分布情况

截至到2021年12月31日,爱加密移动应用安全大数据平台收录全国SDK应用共计5574个,按照SDK的类型来看,框架类的SDK最多,占收录总量的20.56%;其次是工具类SDK,占收录总量的14.89%;排名第三的是图形类SDK,占收录总量的4.25%。详情见下图:

各类SDK分布TOP10

5.2 各区域应用集成SDK的平均数量

截止到2021年12月31日,全国移动互联网应用平均集成6.9个SDK,重庆市、云南省、内蒙古自治区平均集成SDK数量名列前三,分别为11.3个、11.0个和10.2个。第三方的SDK开发侧重于功能性的完善,在安全性方面的投入较少,可能存在一些安全问题,平均嵌入SDK较多的区域需要对区域内应用引起重视。详见下图:

各区域应用平均集成SDK数量TOP10

5.3 嵌入SDK的移动应用功能分类分布情况

从嵌入第三方SDK的移动应用功能分类分布来看,排列第一的是游戏类,占比26.68%;其次是生活实用类,占比14.17%;排列第三的是金融理财类,占比9.00%。由此可见,游戏类应用是嵌入第三方SDK最多的应用类型。公众在使用此类型应用时应仔细阅读应用的隐私政策,注意保护自身的个人信息安全。

嵌入SDK的移动应用功能分类分布TOP10

近年来,受到疫情及互联网技术的影响,线上教育快速发展,市场上教育类应用不断涌现。然而2021年7月,中共中央办公厅、国务院办公厅印发了《关于进一步减轻义务教育阶段学生作业负担和校外培训负担的意见》,正式落地贯彻“双减”政策。紧接着12月教育部发表《加强教育移动互联网应用程序管理,推动与“双减”政策衔接》一文,加强教育应用管理,所有教育备案应用需要重新审核后上架。本章主要介绍全国教育行业移动互联网备案应用变化情况及区域分布。

6.1 本年度教育部备案应用变化情况

爱加密通过对教育行业备案应用的跟踪分析发现,教育备案平台总计备案应用量为5341款应用。随着教育部办公厅印发通知,对加强教育应用管理推动与“双减”政策衔接提出明确要求:对于提供和传播“拍照搜题”等惰化学生思维能力、影响学生独立思考、违背教育教学规律的不良学习方法的作业 APP,暂时下线。整改到位并经省级教育行政部门审核后,方可恢复备案;未通过审核的,撤销备案至因此2021年底,教育备案应用量降低至1999款。下图为本年度教育备案应用变化对比:

教育备案应用变化对比

6.2 各教育备案应用区域划分情况

截止到2021年12月31日,从教育备案应用区域划分来看,广东省教育备案应用量位居第一,占全国总量的32.37%;其次是云南省,占总量的15.61%;上海市位列第三,占总量的8.50%。详情如下:

各教育备案应用区域划分TOP10

随着移动端黑产的日益壮大,为了防止被破解、二次打包、恶意篡改等安全问题,移动互联网应用需要通过技术安全保护措施维护应用安全。本章主要介绍全国未采取技术安全保护措施的应用概况并进行分析。

7.1 未采取技术安全保护措施的应用占比情况

截止到2021年12月31日,对全国未采取技术安全保护措施的应用(即未加固应用)情况进行统计,全国已采取技术安全保护措施的应用总计340384款,占9.59%%,未采取技术安全保护措施的应用占总量的90.41%。相比2020年安全系数有小幅上升,但是未采取技术安全保护措施的应用仍占据90%以上,应用如果不进行技术安全保护措施会无法确保应用安全,无法防止被破解、二次打包、恶意篡改等。

未采取技术安全保护措施的应用占比

7.2 未采取技术安全保护措施的应用功能类型分布情况

通过对全国未采取技术安全保护措施的应用功能类型进行统计发现,游戏类应用未采取技术安全保护措施最多,占总量的22.52%;其次是生活实用类应用,占总量的5.96%;排名第三的是系统工具类应用,占总量的3.53%。在未采取技术安全保护措施的应用的功能类型中,游戏类应用占比最高,由于现在游戏类应用大多需要实名制认证,绑定了用户的身份信息和手机号等。若不进行技术安全保护措施,应用极易被病毒植入、广告替换、支付渠道篡改、钓鱼、信息劫持等,会严重侵害开发者的利益或威胁到用户的信息安全,所以未采取技术安全保护措施的应用开发者或运营者应找第三方安全技术公司,对应用进行相关技术安全保护措施。详见下图:

未采取技术安全保护措施应用功能类型分布TOP10

8.1 保护个人信息安全需要加强建立应用备案机制

目前我国已经是全球最大的移动应用市场,截止当前总计共有350万余款应用,这些应用主要分布于各个第三方应用商店。然而应用商店作为移动应用的主要出入口,其分发渠道作用进一步凸显,但与此同时,部分应用商店基本规范不健全、基础管理不到位,为谋取经济利益追求大而全的收录数量,对应用上架审核把关不严,导致一些传播违法违规信息、侵害用户合法权益、存在安全隐患的应用频现,社会反映强烈。因此国家网信办发布了关于《移动互联网应用程序信息服务管理规定(征求意见稿)》公开征求意见的通知,第十六条中规定应用程序分发平台应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。各地监管部门要加强备案系统的建设并督促应用商店落实主体责任,加强应用上架审核,促进移动互联网健康有序发展。

8.2 保护个人信息安全需要健全企业规范数据处理活动,保障数据安全

近年来,移动应用个人信息数据安全问题和风险隐患日益突出,各应用开发者运营者在面对相关问题时,应当承担起对应的责任。特别是2021年9月,我国第一部关于数据安全的法律《中华人民共和国数据安全法》正式施行。对于应用开发者运营者而言,需要保证数据处理活动的合法合规。数据的收集,不管是通过用户主动提供还是自动采集方式收集数据的,应就收集的目的、方式和范围取得用户的有效授权,在隐私政策中准确写明。并且数据采集手段、方式恰当、满足“收所必需、用所最小”的基本准则。除此以外,数据处理活动所包括的 “存储、使用、加工、传输、提供、公开”等均应满足相关法律法规、监管规定的要求。遵守安全保护义务,落实等级保护管理工作。

8.3 保护个人信息安全需要用户提高移动应用安全使用技能

一、下载应用时,要选择安全可靠的应用下载渠道,不安装不明来路的应用,不轻易接收安装来自微信、QQ等社交媒体的应用,不轻易点击短信中的链接,尽量使用常用的知名的应用。

二、首次使用应用时,要注意观察应用是否有用户协议及隐私政策,认真阅读相关内容,了解该应用是否有违规收集用户信息或超范围收集用户信息等情况。

三、安装过程中,不轻易授权应用读取自己的敏感信息,如相册、摄像头、录音、短信、电话、地理位置等。

四、使用过程中,不轻易填写自己的个人敏感信息。五是在卸载应用时,要注意注销自己的用户信息,清理相关个人信息数据。

六、按照国务院打击治理电信网络新型违法犯罪部级联席会议办公室总体部署,为全力维护人民群众切身利益,推荐公众安装、使用“国家反诈中心APP” 和全国反诈电话“96110”。“国家反诈中心APP”具备“诈骗预警、我要举报、身份验真、报案助手”等功能,并可帮助查看各地公安机关破获的诈骗案件信息,学习相关防诈骗知识。公众一旦发现有违法违规行为应用,及时举报和报警。