移动应用的飞速发展,一方面为我们工作生活提供极大的便利,是推动我国经济社会发展的新动能。另一方面,App存在种种违法违规收集使用个人信息的行为,例如:无公开的隐私政策或隐私政策不完整、超范围收集个人信息,通过强制索权收集超过必要的个人信息等,使得互联网用户的个人信息面临着被非法收集、滥用、泄露等风险。如何保护个人信息安全,已经成为刻不容缓需要解决的问题。
2016年11月颁布的《网络安全法》建立了网络数据安全相关制度,2019年5月《数据安全管理办法》草案公开征求意见,2020年7月《数据安全法》草案公开征求意见,数据安全已经成为网络安全乃至国家安全法制体系中的核心内容之一。随着个人信息保护法律法规不断完善以及相关国家标准陆续出台,App运营者应切实将个人信息保护法律法规、国家标准的相关要求落实到产品中,加强行业自律,做好用户个人信息保护,促进移动互联网产业健康有序发展。
爱加密专注于移动互联网、物联网和工业互联网的泛在应用安全防护生态体系。针对移动应用安全问题,爱加密可提供移动应用安全检测、移动应用个人信息安全检测、移动应用渠道监测、移动应用大数据平台等产品,通过专业的检测技术,帮助企业用户快速实现移动应用的安全合规。此外,我们还会定期会发布相关移动安全观测报告,以下为报告全文。
一、全国移动互联网应用概况
1.1 全国移动互联网应用总量综合统计
截止到2020年12月31日,爱加密移动应用安全大数据平台收录全国Android应用共计3307221款,应用安装包(apk)10437961个,iOS 应用共计2101025款,微信公众号5197144个,微信小程序643372个。2020年度,全国总计新增应用336104款,年增幅为11.31%。四个季度的增幅分别如下:
2020年全国各季度应用新增量及增幅对比
1.2 全国移动互联网应用地域分布情况
全国3307221款App中,有770647款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这770647款做分析。从区域来看,广东省App产量位居第一,占全国App总量的24.30%;其次是北京市,占总量的20.11%;上海市位列第三,占总量的9.84%。以下是全国移动互联网应用地域分布top10:
全国移动应用区域分布情况TOP10
1.3 全国移动互联网应用行业分布情况
从行业分类来看,游戏类App应用数量占全国总量的23.79%,位居第一;工具软件类应用数量占全国总量的18.99%,位居第二;金融类应用数量占全国总量的14.97%,位居第三。
全国移动应用行业分布情况TOP10
1.4 全国移动互联网应用渠道排名情况
截止到2020年12月31日,爱加密移动应用安全大数据平台纳入监测的应用渠道数量总计约900+个。全国应用数量排名前三的应用商店分别是:豌豆荚,共计应用708312款,占总应用数量的21.42%;360市场,共计应用637258款,占总应用数量的19.27%;应用宝,共计应用634319款,占总应用数量的19.18%;以下是各渠道应用排行前十的情况:(应用商店各自有不同的开放查询策略,排名仅做参考)
全国应用在各渠道应用量排行TOP10
1.5 全国移动互联网应用下载量情况
截止到2020年12月31日,结合各渠道的下载量统计,考虑渠道的权重(渠道的影响力,公信力,专业度)等综合因素进行分析,全国累计下载量排名前列的应用分别是:应用宝1520000万+次,拼多多1340000万+次,HMSCore 1240000万+次,(注:下载量是指爱加密移动应用安全大数据平台综合智能分析的下载量,仅作参考) 以下是应用下载量TOP10排行情况:
全国移动应用下载量排行TOP10
1.6 全国活跃移动互联网应用功能类型分布情况
截止到2020年12月31日,全国活跃应用(三个月有更新的应用)总计282550款,从功能类型来看,办公学习类App应用活跃度较高,占全国活跃应用总量的18.87%,位居第一;生活实用类应用数量占全国活跃应用的17.44%,位居第二;游戏应用类应用数量占全国活跃应用的16.31%,位居第三。
全国活跃应用功能分类情况
二、全国移动互联网应用漏洞情况
2.1 各等级漏洞概况
截止到2020年12月31日,爱加密移动应用安全大数据平台利用安全检测引擎,对全国3307221款应用,总计10437961个应用安装包进行104项漏洞扫描,存在漏洞风险的应用安装包为8634393个,82.72%以上的App存在漏洞风险。存在不同风险等级漏洞的App占比如下(同一个应用可能存在多个等级的漏洞):
不同风险等级漏洞的App占比
2.2 各漏洞类型应用排行
全国3307221款Android应用通过移动应用安全平台进行风险检测,其中,有高危漏洞的App约2972934款,占应用总数的89.89%。本年度排名前三的漏洞分别是:“Janus漏洞”、“Java代码加壳检测”、“WebView远程代码执行漏洞”。详见下图:
漏洞类型应用排行
2.3 各功能类型存在高危漏洞风险的应用排行
从功能类型来看,游戏应用类存在高危漏洞风险的应用数量占全国总量的18.78%,位居第一;生活实用类存在高危漏洞风险的应用数量占全国总量的14.01%,位居第二;办公学习类存在高危漏洞风险的应用数量占全国总量的10.46%,稳居第三。游戏应用类应用是存在高危漏洞最多的应用,如果受到攻击容易导致用户的隐私泄露或直接财产损失。监管机构应加强对游戏应用类App的监管,同时应用开发者安全意识不足,应采取有效措施如通过使用应用加固,防范应对网络攻击,保障系统的平稳、安全运行。
功能类型存在高危漏洞风险的应用占比排行
2.4 各行业分类存在高危漏洞风险的应用排行
从行业分类来看,游戏类存在高危漏洞风险的应用数量占全国总量的27.16%,位居第一;生活服务类存在高危漏洞风险的应用数量占全国总量的15.44%,位居第二;教育类存在高危漏洞风险的应用数量占全国总量的13.52%,位居第三。游戏类应用在全国总应用中占比量最高,受众面广,同时也是存在高危漏洞风险占比最高的行业,需要加强对相应应用的监管。
行业分类存在高危漏洞风险的应用占比排行
2.5 各区域存在高危漏洞风险的应用排行
从区域划分来看,北京市存在高危漏洞风险的应用数量占全国总量的26.32%,位居第一;广东省存在高危漏洞风险的应用数量占全国总量的25.04%,位居第二;上海市存在高危漏洞风险的应用数量占全国总量的9.33%,位居第三。
区域存在高危漏洞风险的应用占比排行
三、全国移动互联网应用恶意概况分析
3.1 主要恶意程序风险描述
截止2020年12月,全国累计含有恶意程序的应用318925款,其中恶意程序类型以“流氓行为”为主,这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。详见下图:
恶意程序类型统计表
以下是TOP3的恶意类型简介:
1.流氓行为:这类恶意程序通常会绑定广告插件,会在用户未授权的情况下,弹出广告窗口等。
2.窃取隐私:这类恶意程序会在在用户不知情或未授权的情况下,通过隐蔽执行的手段,窃取用户设备个人隐私信息的,直接导致用户个人隐私信息泄露。
3.恶意扣费:这类恶意程序会在后台执行恶意行为,消耗用户资费,或在用户不知情的情况下私自下载付费应用并完成支付,造成用户资费损失。
3.2 渠道恶意应用分布情况
截止到2020年12月31日,恶意程序渠道分布量排列第一的是应用宝,占恶意程序总量的20.26%,其次是豌豆荚,占恶意程序总量的8.74%,排列第三的是免费市场,占恶意程序总量的8.71%,详情如下图:
渠道恶意应用Top10
3.3 恶意应用功能类型分布情况
从功能类型来看,游戏应用类存在恶意应用的数量占全国恶意应用总量的28.78%,位居第一;生活实用类存在恶意应用的数量占全国恶意应用总量的8.76%,位居第二;金融理财类存在恶意应用的数量占全国恶意应用总量的7.71%,位居第三。存在恶意应用最多的功能类型是游戏应用类,相比排名第二的生活实用类占比高出三倍,需要加强对这类恶意应用的排查。详情见下图:
恶意应用功能类型分布
3.4 恶意应用行业分布情况
截止到2020年12月31日,从行业分类来看,游戏类存在恶意应用的数量占行业总量的30.47%,位居第一;工具软件类存在恶意应用的数量占总量的19.73%,位居第二;教育类存在恶意应用的数量占总量的17.37%,稳居第三。存在恶意应用最多的行业是游戏类应用。由于大多数恶意应用分布在小渠道中,用户在下载应用时,要注意不要下载类似“破解版”的游戏应用,应主动选择应用的官方渠道下载。详情如下图:
恶意应用行业分布
四、全国移动互联网应用个人信息合规性检测
4.1 个人信息检测类型分布情况
截止到2020年12月31日,针对全国应用进行了个人信息合规性抽样检测,全国总计送检50万+款应用。其中,66.48.%的应用存在“用户明确表示不同意仍收集个人信息”的违规情况。该违规行为可能存在强制收集用户个人信息。61.00%的应用存在“收集个人信息前未征得用户同意”的违规情况。该违规行为是指在用户使用App时,在用户不知情的情况下收集相关个人信息数据,容易造成用户在不知情的情况下隐私被盗取,被贩卖,被他人记录等结果;47.86%的应用存在“收集个人信息的频度超出业务功能实际需要”的违规情况。综合上述,监管机构应加强企业进行宣传个人信息相关的法律法规,加强对App的开发企业,运营企业的通报处罚力度。作为应用的责任主体,应自我做到遵纪守法,符合《自评估指南》中的所有要求;而用户应该加强自己的隐私保护意识,如果遇上“流氓”App应提高防护意识,注重个人的隐私。详见下图:
个人信息违规类型分布
4.2 个人信息检测行业分布情况
从行业分类来看,存在个人信息违规性问题的应用文化传媒类占检测总量的25.82%,位居第一;其次是教育类占检测总量的24.04%,位居第二;医疗卫生类占检测总量的14.29%,位居第三。
个人信息检测违规应用行业分布
4.3 个人信息检测功能类型分布情况
从功能类型分类来看,存在个人信息违规性问题的应用学习教育类占检测总量的13.78%,位居第一;其次是游戏应用类占检测总量的10.72%,位居第二;生活实用类占检测总量的9.57%,位居第三。2020年因疫情影响,线上教育快速发展,使用学习教育类App的用户越来越多,超过七成以上的学习教育类应用存在“用户明确表示不同意仍收集个人信息”的违规性问题,容易造成大量用户的个人信息泄露,该应用类型后期可作为重点监测目标对象。
个人信息检测违规应用功能类型分布
五、全国移动互联网应用嵌入SDK情况
5.1 各功能类型的App平均集成SDK分析
全国应用平均集成SDK个数为1.05个,应用平均集成SDK数量排名前列的功能类型分别是:社交通讯类,健康运动类,网上购物类。 以下是各功能类型应用平均集成SDK个数排行情况:详见下图:
各功能类型平均集成SDK
5.2 应用嵌入各类型SDK的分布情况
截止到2020年12月31日,从应用嵌入第三方SDK的类型来看,嵌入了推送类SDK的App数量最多,占比为30.23%,其次是统计类SDK,占比为18.33%;位列第三的是支付类SDK,占比为15.28%。详情如下:
各类SDK分布情况
5.3 行业应用嵌入SDK分布情况
从应用嵌入第三方SDK的行业分布来看,排列第一的是工具软件,占比为29.82%;其次是游戏,占比为16.145%,排列第三的是医疗卫生,占比为14.13%。详情如下:
行业嵌入SDKTop10分布情况
六、全国移动互联网应用加固情况分析
6.1 加固应用和未加固应用分布
截止到2020年12月31日,对应用、更新版本的应用、以及存量应用的加固情况进行统计,全国总计加固应用292572款,占8.85%,未加固应用占总量的91.15%。随着移动端黑产的日益壮大,App如果不进行安全加固会无法确保应用安全,无法防止被破解、二次打包、恶意篡改等,安全加固是维护App安全的重要防护手段。
加固应用和未加固应用分布
6.2 未加固应用行业分布
通过对全国未加固应用行业进行统计发现,游戏类行业的App未加固率最高,占未加固应用的24.63%,其次是工具软件类App,占未加固应用的17.97%,排名第三的是金融类App,占未加固应用的15.45%。在未加固的应用的行业分类中,游戏类应用占比最高,由于现在游戏类应用大多需要实名制认证,绑定了用户的身份信息和手机号等。若不进行安全加固,应用极易被病毒植入、广告替换、支付渠道篡改、钓鱼、信息劫持等,会严重侵害开发者的利益或威胁到用户的信息安全。详见下图:
未加固应用行业分布
七、个人信息安全保护措施
7.1 保护个人信息安全需要健全数据分级分类规则,完善网络数据安全立法
1.确立网络数据安全分级分类的基本思路:传统网络数据安全侧重于静态保护,主要是防止网络数据泄露、窃取、篡改、毁损,维护网络数据的完整性、保密性和可用性。新一代网络数据安全处于数字经济繁荣发展和全面数字化转型的新时代,需要适应动态保护的需求,确保数据在各类场景下收集、利用、流转、开放、共享等不同行为时的安全与自由。场景差异会形成不同的正当价值和安全风险,分级分类保护应当成为网络数据安全立法的基本思路。
2.引导公共属性数据相互共享和对外开放:公共属性的数据也被称之为公共利益数据,是由政府部门或者网络运营企业收集、存储,但属于社会中各类人力资源、财产资源共同参与创造的,可以在政府和企业之间相互共享,也可以基于公共利益目的对外开放。公共属性数据的共享与开放包括企业对政务数据的使用、政府机构对企业数据的使用、政府不同部门之间的数据共享。
3.推动企业数据安全有序的利用与流转:企业数据是企业通过合法形式取得的具有完全权属、有限权属、无权属的各类数据。企业对于无权属的他人数据只能按照约定目的和方式进行管理和使用,对于处理大量他人数据的网络运营者应当依法建立数据安全体系,为他人提供数据收集、存储、加工、分析、传输等服务的企业,应当通过向主管部门备案、建立相互隔离的数据安全环境等措施。对于完全权属和有限权属的数据,企业可以在权利范围内进行交易、共享和开放。
4.确保新技术对个人数据利用的安全:信息技术的创新发展提高了个人数据的利用效率和方式,出现了用户画像、个性化推荐、自动化决策、深度伪造、人脸识别等提升个人数据利用风险的新技术,也出现了差分隐私、多方计算等减少个人数据利用风险的新技术。在数据安全配套法规中,应当引导网络运营者采取有利于个人数据安全利用的新技术,通过技术手段实现安全和发展的双重目标,有效避免个人数据利用过程中出现的安全风险。对于各类挖掘个人数据潜在价值的新技术,应当进行数据安全风险评估,并在相关法规中建立场景化的数据利用规则。
7.2 保护个人信息安全需要全产业链的共同努力
在大数据时代,保护个人信息安全,提升App个人信息安全能力,加强用户权益保护,需要全产业链的共同努力。
1.作为App开发和运营企业要做好自律,企业是维护网络安全的主体,为实现一些功能,在收集个人信息收集时要做好平衡、把握好度,在相关功能实现后,企业应当将如何保护个人信息作为核心竞争力。
2.作为监管部门,由于互联网技术革新快、应用技术广泛多变的特性,监管部门需要及时更新相应的法律法规。通过专门立法,制定App运营者收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任,以及监督检查和评估措施。
3.对于用户而言,需要提高个人信息保护意识以及如何选择安全可靠的应用下载渠道。