全国移动App第三季度安全研究报告

robots

 

2021年10月,北京智游网安科技有限公司(爱加密)联合移动互联网系统与应用安全国家工程实验室(以下简称:国家工程实验室)发布了《全国移动App风险监测评估报告》(2021年3季度版)。

本次评估报告包括全国移动App安全概况、全国App功能分布、金融类App分布概况、本季度增量情况、移动App个人信息安全概况、第三季度移动App安全风险监测评估等内容。App风险监测评估报告面向社会公众免费发布,为行业用户了解App安全提供了参考,也为个人用户开启了一扇了解当下App安全热点的窗户。

爱加密和国家工程实验室后续会加大合作力度,把“全国移动App风险监测评估”作为常态化合作内容,风险监测评估报告每季度发布。

一、全国移动App概况

根据移动互联网系统与应用安全国家工程实验室(以下简称国家工程实验室)和爱加密移动应用大数据平台提供的数据,截止9月底大数据平台共计收录Android移动App 347万款,其中70%以上存在高危漏洞威胁;34.17%的App嵌入工具类的SDK。

(一)应用宝移动App数量占总量的21.40%

截止到本季度纳入监测的应用渠道数量总计约900个,其中应用数量排名前三列的分别是:应用宝,共计应用714757款,占渠道总应用数量的20.57%;360市场,共计618611款,占总应用数量的17.80%;豌豆荚,共计533215款,占总应用数量的15.34%。以下是各渠道应用排行前十的情况:

各渠道应用排行TOP10

(二)高危漏洞呈逐渐增长趋势

本次主要对10类94项风险漏洞进行监测分析,发现70%以上的App存在漏洞风险。约248万款Android最新版本应用包通过移动应用安全平台进行风险监测,其中,有高危漏洞的App约183万款,占监测应用总数的73.78%。截止到本季度排名前三的漏洞分别是:Janus漏洞、截屏攻击风险、Java代码加壳检测。详见下图:

存在漏洞的App数量统计图

(三)第三方SDK应用广泛,数据安全存在隐患

第三方SDK通常是造成用户个人信息在网上“裸奔”的罪魁祸首。监测发现截止9月底,共计1774934款App嵌入工具类的SDK,占比34.17%;494746款App嵌入推送类的SDK,占比9.52%;447107款App嵌入框架类的SDK,占比8.61%,详见下图:

不同类型SDK对应的App分布情况

(四)各省份移动App加固情况

从加固App区域分布来看,北京、广东发达地区App加固量排名靠前,加固占比最多。

加固App省份Top10

经统计,安全加固排名前三列的分别是:北京市占总量的25.12%,共计应用79448款;广东省市占总量的24.90%,共计应用78778款;湖北省占总量的7.43%,共计应用23506款,以下是前十占比情况:

加固App数量省份占比前十分布

北京以25.12%的市场份额成为汇聚加固App数量最多的省份,而西藏、澳门等省份加固App数量较少。详情如下:

加固App数量较少的省份分布情况

 

二、全国App功能分布

(一)游戏App稳居市场总应用的首位

从全国移动App功能应用细分领域来看,游戏类App的数量占据首位,占市场应用的43.9%,约98万款;生活实用类的App占市场应用的12.0%,约27万款;系统工具类的App占市场应用的7.0%,约16万款。不同细分领域App占比如下所示:

不同细分领域AppTop10数量及占比

(二)其他功能App分布情况

排名第4到第10的行业分别是办公学习、资讯阅读、金融理财、拍摄美化,总和未超过50%。其中:办公学习类App约14万款,占比6.4%;资讯阅读类App约13万款,占比5.6%;金融理财类App约9万款,占比4.2%。详情见下图:

其他功能Apps数量分布

 

三、金融类App分布概况

(一) 超三成App分布在华东地区

金融类App遍布全国各地,有94724款可以根据区域划分规则明确归属地,以下区域分布仅基于这94724款做分析。从大区来看,华东地区App数量位居第一,占App总量的36.02%;其次是华南地区,占总量的26.21%;华北地区位列第三,占总量的16.74%。详见下图:

App大区分布图

(二) 广东省金融类App数量居全国第一

从省级区域来看,广东省金融类App数量占全国总量的24.45%,位居第一;北京市金融类App数量占全国总量的14.15%,位居第二;上海市占全国总量的10.52%,稳居第三。以下是排名TOP10的情况:

应用数量占比TOP10

 

四、本季度增量情况

(一) Android应用数量8月份环比倍数增长

本季度新增Android应用数量共计89436款,从月度上看,本季度Android应用数量增速8月份环比增长最快,环比增加25.85%,但7月新增应用共计23548款,环比下降27.57%。详见图8:

月度环比增速图

1.本季度教育类App增量最多

从应用行业上看,教育类仍是新增移动App的主要类别,占新增应用34.4%;金融类新增数量位列第二,占新增应用31.2%;政企类新增数量位列第三,占新增应用的18.6%;详见下图:

新增移动App行业Top10分布图

(二) 应用监测渠道增量情况

1.应用监测渠道7月增长较快

本季度应用监测新增渠道趋势较为平缓,新增应用渠道共计44个,7月份新增28个渠道,8月份新增8个渠道。详见下图:

新增渠道情况

2.新增渠道中,服务器在广东、湖北、上海的最多

从新增渠道分布区域上看,服务器在香港的渠道增量最多,占新增渠道13.64%。详见下图:

新增渠道所属区域

 

五、移动App个人信息安全概况

(一)个人信息检测违规分布情况

第三季度,针对全国移动App进行了个人信息合规性抽样检测,其中,56.87%的应用存在“违规收集个人信息”的违规情况;55.60%的应用存在“超范围收集个人信息”的违规情况;19.16%的应用存在“App强制、频繁、过度索取权限”的违规情况。综合上述,建议监管机构督促企业加强个人信息相关的法律法规宣传,加强对App的开发企业、运营企业的通报处罚力度。作为责任主体,相关企业应做到遵纪守法,按照相关政策标准的要求自查自纠;用户应提高隐私保护意识,提防“流氓”App,注重个人的隐私。个人信息违规类型详见下图:

个人信息违规类型分布

(二)个人信息检测违规移动App功能类型分布

从功能类型分类来看,存在个人信息违规性问题的应用办公学习类占违规总量的21.98%,位居第一;其次是生活实用类占违规总量的20.39%,位居第二;网上购物类占违规总量的8.90%,位居第三。办公学习类的App受众面广,且应用数量较多。详见下图:

个人信息检测违规App功能类型分布

(三)移动App个人信息安全案例分析

1.越权设置密码

(1)将client_id替换为注册的另一个账号的client_id(此参数可通过遍历获取所有用户的id)

(2)退出当前账号,登录刚才越权修改client_id对应的另一个账号,可以看到昵称已经被成功越权修改为具有一定诱导性的内容。

同时,昵称长度限制为客户端本地验证,可通过抓包修改绕过此限制:

结果分析:该APP仅通过参数client_id来进行身份识别,因此通过遍历,修改此client_id参数,即可越权修改对应的用户的相关信息。

2.数据明文传输

对App请求与相应数据包进行抓取分析后发现,某App交互数据包均未进行加密处理,且返回数据内可见明文电话号码、token等信息。

结果分析:App应对涉及个人敏感信息、重要数据等的数据包加密处理,并对关键加密算法所在的so库进行加壳、混淆等防护,保护App数据传输及加解密机制安全。

 

六、第三季度移动App安全风险监测评估

(一)“人脸识别”是一种趋势,亦是一种潜在风险

随着科技的发展,App的功能也越发强大,开发者在开发App 时,希望应用能够快速的打开并且运行。从一开始的输入密码解锁到指纹解锁,再到最后的人脸识别解锁功能;App功能在强大的同时,伴随的风险也在加深。“人脸识别”是技术通过相机功能针对用户采集并且收集人脸,储存在后端。而这也给了许多不法分子可乘之机,他们利用人脸识别技术漏洞谋利:通过人脸在线刷脸技巧,骗过部分手机App的活体认证环节,实名认证后窃取用户的个人信息并进行贩卖、网贷等不法手段。

App被授予人脸识别技术,也不乏有恶意App收集相关人脸信息,进行灰色产业的交易,而我们在使用此技术带来的便利同时,也要保持谨慎的心态,使用从官网、认证并且知名的渠道下载的应用。

(二)网络安全离不开安全技术和产业的支撑

没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。当前,各种形式的网络攻击、黑客入侵、恶意代码、安全漏洞层出不穷,对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗,保障网络安全离不开网络安全技术和产业的有力支撑。

移动互联网系统与应用安全国家工程实验室

北京智游网安科技有限公司

2021年10月23日

(完)