导语:梆梆安全发布《2024年Q3移动应用安全风险报告》。
梆梆安全出品的《2024年Q3移动应用安全风险报告》来了!以梆梆安全移动应用监管平台2024年Q3监测、分析的移动应用安全态势为基础,为大家重点和深度分析国内移动应用攻击技术及安全趋势发展,为移动应用安全建设工作提供有效建议和参考。
01 全国移动应用概况
梆梆安全移动应用监管平台对国内外1000+活跃应用市场实时监测的数据显示,2024年7月1日至2024年9月30日新发布的应用中,归属全国的Android应用总量为203,224款,涉及开发者总量62,156家。
从Q3新发布的APP分布区域来看,广东省APP数量位居第一,约占全国APP总量的20.02%,位居第二、第三的区域分别是北京市和上海市,对应归属的APP数量是34,301、19,843个。具体分布如图1所示:
图1 全国APP区域分布TOP10
从APP的功能和用途类型来看,实用工具类APP数量稳居首位,占全国APP总量的 19.92% ;教育学习类APP位居第二,占全国APP总量的13.78%;商务办公类APP排名第三,占全国 APP总量的9.44%。各类型APP占比情况如图2所示:
图2 全国APP类型分布TOP10
02 全国移动应用安全分析概况
梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎,对全国Android应用进行抽样检测,风险应用从盗版(仿冒)、境外数据传输、高危漏洞、个人隐私违规4个维度综合统计,风险应用数量如图3所示:
图3 风险应用数量统计
01 漏洞风险分析
从全国Android APP中随机抽取98,945款进行漏洞检测,发现存在漏洞威胁的APP为75,513个,即76.32%以上的APP存在中高危漏洞风险。在75,513款APP漏洞中,高危漏洞占比74.26%,中危漏洞占比96.74%(同一APP可能存在多个等级漏洞)。
对不同类型的漏洞进行统计,大部分漏洞可以通过应用加固方案解决。应用漏洞数量排名前三的类型分别为JAVA代码反编译风险、HTTPS未校验主机名漏洞,及动态注册Receiver风险。
从APP类型来看,实用工具类APP存在的漏洞风险最多,占漏洞APP总量的20.08%;其次为教育学习类APP,占比11.42%;商务办公类APP位居第三,占比9.17%。漏洞数量排名前10的APP类型如图4所示:
图4 存在漏洞的APP类型TOP10
02 盗版(仿冒)风险分析
盗版APP指未经版权所有人同意或授权的情况下,利用非法手段在原APP中加入恶意代码,进行二次发布,造成用户信息泄露、手机感染病毒,或其他安全危害的APP。从全国的Android APP中随机抽取770款进行盗版(仿冒)引擎分析,检测出盗版(仿冒)APP 762个,其中实用工具、新闻阅读、教育学习类APP是山寨APP的重灾区,各类型占比情况如图5所示:
图5 盗版(仿冒)APP类型TOP10
03 境外传输数据分析
2024年3月22日,中央网络安全和信息化委员会办公室正式发布《促进和规范数据跨境流动规定》,同时发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》以指导企业落实数据出境合规义务,充分体现我国通过加强数据跨境监管,维护国家安全的监管思路。、
从全国的Android APP中随机抽取17,462款Android APP进行境外数据传输引擎分析,发现其中1,549款应用存在往境外的IP传输数据的情况,从统计数据来看,发往澳大利亚的最多,占比53.58%;其次是发往美国,占比35.18%。无论是针对移动应用程序自身程序代码的数据外发行为,还是针对第三方SDK的境外数据外发行为,都建议监管部门加强对数据出境行为的监管。数据传输至境外国家占比排行情况如图6所示:
图6 数据传输至境外国家占比TOP10
从APP类型来看,实用工具类APP往境外IP传输数据的情况最多,占境外传输APP总量的18.66%;其次为其他类APP,占比12.33%;生活服务类APP占境外传输数据APP总量的8.65%,位列第三。各类型占比情况如图7所示:
图7 境外传输数据APP各类型占比TOP10
04 个人隐私违规分析
作为联网才能正常工作的移动应用,采集网络权限、系统权限以及 WiFi 权限是比较正常的,但移动应用是否应该采集用户短信、电话以及位置等“危险权限”,需要根据应用本身的合法业务需求进行分析 。
基于国家《信息安全技术个人信息安全规范》《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求,从全国Android APP中随机抽取17,462款进行合规引擎分析,检测出66.12%的APP涉及隐私违规现象,如违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如图8所示:
图8 个人隐私违规类型占比情况
从APP类型来看,实用工具类APP存在个人隐私违规问题最多,占检测总量的18.14%;其他类APP存在的隐私违规问题占检测总量的12.01%,位居第二;教育学习类APP存在的隐私违规问题占检测总量的11.29%,位居第三。涉及个人隐私违规APP各类型占比如图9所示:
图9 个人隐私违规APP类型TOP10
05 第三方SDK风险分析
第三方SDK是由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包,APP开发者、运营者出于开发成本、运行效率考量,普遍在APP开发设计过程中使用第三方软件开发包(SDK)简化开发流程。从全国的Android APP中随机抽取88,926款进行第三方SDK引擎分析,检测出95.24%的应用内置了第三方SDK。如果SDK有安全漏洞,可能导致包含该SDK的应用程序受到攻击。
从APP类型来看,实用工具类APP内置第三方SDK的数量最多,占比20.23%;其次为教育学习类APP,占比11.9%;商务办公类APP位列第三,占比9.04%。内置第三方SDK应用各类型APP占比如图10所示:
图10 内置第三方SDK应用各类型APP占比TOP10
06 应用加固现状分析
随着移动APP渗透到人们生活的方方面面,黑灰产业也随之壮大,应用若没有防护,则无异于“裸奔”,对APP进行安全加固可有效防止其被逆向分析、反编译、二次打包、恶意篡改等。从全国的Android APP中随机抽取148,607款进行加固引擎检测,检测出已加固的应用仅占应用总量的38.11%。
从应用类型来看,APP加固率排名前三的分别是政务、金融、新闻类APP。不同APP类型加固占比如图11所示:
图11 不同APP类型加固占比
随着移动互联网的快速发展,以手机等移动智能设备为载体的移动互联网应用程序深入到社会生产生活的方方面面,移动端承载了越来越多企业及用户的生产业务和敏感数据,是整体安全体系建设的重要一环。
而在外网防御越来越完善的今天,攻击者更喜欢在“移动端”上找到突破口,恶意软件猖獗、个人信息违规收集、数据恶意滥用等风险问题层出不穷,网络攻击愈演愈烈,漏洞威胁持续升级,对个人及企业的数据和财产安全构成严重威胁。
在信息技术应用创新发展的大趋势下,梆梆安全始终以客户为中心,以持续的研发投入和产品创新,从技术、服务两个层面建立全面的移动应用安全和物联网安全防护生态体系,构建了应用设计开发、应用测试、应用发布、应用运维在内的 APP 全生命周期安全解决方案,形成从保护、加固、检测到监管、测评、响应的全栈产品和服务能力,深入治理 APP、小程序、快应用等应用程序乱象,已经成为各行业厂商值得信赖的合作伙伴。
数字时代,移动互联网持续渗透,推动数字化、信息化深入社会生活发展的方方面面,移动端渠道的业务重要性与安全性的要求越来越高。在移动应用数量和业务丰富度爆发式增长的当下,梆梆安全勇担“保护您的软件”的企业使命,致力于应用技术百家争鸣,应用体验百花齐放,让互联网用户拥有更美好、更安全、更合规的数智生活。
如若转载,请注明原文地址
