2021年10月,北京智游網(wǎng)安科技有限公司(愛加密)聯(lián)合移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室(以下簡稱:國家工程實(shí)驗(yàn)室)發(fā)布了《全國移動(dòng)App風(fēng)險(xiǎn)監(jiān)測評估報(bào)告》(2021年3季度版)。
本次評估報(bào)告包括全國移動(dòng)App安全概況、全國App功能分布、金融類App分布概況、本季度增量情況、移動(dòng)App個(gè)人信息安全概況、第三季度移動(dòng)App安全風(fēng)險(xiǎn)監(jiān)測評估等內(nèi)容。App風(fēng)險(xiǎn)監(jiān)測評估報(bào)告面向社會公眾免費(fèi)發(fā)布,為行業(yè)用戶了解App安全提供了參考,也為個(gè)人用戶開啟了一扇了解當(dāng)下App安全熱點(diǎn)的窗戶。
愛加密和國家工程實(shí)驗(yàn)室后續(xù)會加大合作力度,把“全國移動(dòng)App風(fēng)險(xiǎn)監(jiān)測評估”作為常態(tài)化合作內(nèi)容,風(fēng)險(xiǎn)監(jiān)測評估報(bào)告每季度發(fā)布。
一、全國移動(dòng)App概況
根據(jù)移動(dòng)互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實(shí)驗(yàn)室(以下簡稱國家工程實(shí)驗(yàn)室)和愛加密移動(dòng)應(yīng)用大數(shù)據(jù)平臺提供的數(shù)據(jù),截止9月底大數(shù)據(jù)平臺共計(jì)收錄Android移動(dòng)App 347萬款,其中70%以上存在高危漏洞威脅;34.17%的App嵌入工具類的SDK。
(一)應(yīng)用寶移動(dòng)App數(shù)量占總量的21.40%
截止到本季度納入監(jiān)測的應(yīng)用渠道數(shù)量總計(jì)約900個(gè),其中應(yīng)用數(shù)量排名前三列的分別是:應(yīng)用寶,共計(jì)應(yīng)用714757款,占渠道總應(yīng)用數(shù)量的20.57%;360市場,共計(jì)618611款,占總應(yīng)用數(shù)量的17.80%;豌豆莢,共計(jì)533215款,占總應(yīng)用數(shù)量的15.34%。以下是各渠道應(yīng)用排行前十的情況:
各渠道應(yīng)用排行TOP10
(二)高危漏洞呈逐漸增長趨勢
本次主要對10類94項(xiàng)風(fēng)險(xiǎn)漏洞進(jìn)行監(jiān)測分析,發(fā)現(xiàn)70%以上的App存在漏洞風(fēng)險(xiǎn)。約248萬款A(yù)ndroid版本應(yīng)用包通過移動(dòng)應(yīng)用安全平臺進(jìn)行風(fēng)險(xiǎn)監(jiān)測,其中,有高危漏洞的App約183萬款,占監(jiān)測應(yīng)用總數(shù)的73.78%。截止到本季度排名前三的漏洞分別是:Janus漏洞、截屏攻擊風(fēng)險(xiǎn)、Java代碼加殼檢測。詳見下圖:
存在漏洞的App數(shù)量統(tǒng)計(jì)圖
(三)第三方SDK應(yīng)用廣泛,數(shù)據(jù)安全存在隱患
第三方SDK通常是造成用戶個(gè)人信息在網(wǎng)上“裸奔”的罪魁禍?zhǔn)住1O(jiān)測發(fā)現(xiàn)截止9月底,共計(jì)1774934款A(yù)pp嵌入工具類的SDK,占比34.17%;494746款A(yù)pp嵌入推送類的SDK,占比9.52%;447107款A(yù)pp嵌入框架類的SDK,占比8.61%,詳見下圖:
不同類型SDK對應(yīng)的App分布情況
(四)各省份移動(dòng)App加固情況
從加固App區(qū)域分布來看,北京、廣東發(fā)達(dá)地區(qū)App加固量排名靠前,加固占比最多。
加固App省份Top10
經(jīng)統(tǒng)計(jì),安全加固排名前三列的分別是:北京市占總量的25.12%,共計(jì)應(yīng)用79448款;廣東省市占總量的24.90%,共計(jì)應(yīng)用78778款;湖北省占總量的7.43%,共計(jì)應(yīng)用23506款,以下是前十占比情況:
加固App數(shù)量省份占比前十分布
北京以25.12%的市場份額成為匯聚加固App數(shù)量最多的省份,而西藏、澳門等省份加固App數(shù)量較少。詳情如下:
加固App數(shù)量較少的省份分布情況
二、全國App功能分布
(一)游戲App穩(wěn)居市場總應(yīng)用的首位
從全國移動(dòng)App功能應(yīng)用細(xì)分領(lǐng)域來看,游戲類App的數(shù)量占據(jù)首位,占市場應(yīng)用的43.9%,約98萬款;生活實(shí)用類的App占市場應(yīng)用的12.0%,約27萬款;系統(tǒng)工具類的App占市場應(yīng)用的7.0%,約16萬款。不同細(xì)分領(lǐng)域App占比如下所示:
不同細(xì)分領(lǐng)域AppTop10數(shù)量及占比
(二)其他功能App分布情況
排名第4到第10的行業(yè)分別是辦公學(xué)習(xí)、資訊閱讀、金融理財(cái)、拍攝美化,總和未超過50%。其中:辦公學(xué)習(xí)類App約14萬款,占比6.4%;資訊閱讀類App約13萬款,占比5.6%;金融理財(cái)類App約9萬款,占比4.2%。詳情見下圖:
其他功能Apps數(shù)量分布
三、金融類App分布概況
(一) 超三成App分布在華東地區(qū)
金融類App遍布全國各地,有94724款可以根據(jù)區(qū)域劃分規(guī)則明確歸屬地,以下區(qū)域分布僅基于這94724款做分析。從大區(qū)來看,華東地區(qū)App數(shù)量位居第一,占App總量的36.02%;其次是華南地區(qū),占總量的26.21%;華北地區(qū)位列第三,占總量的16.74%。詳見下圖:
App大區(qū)分布圖
(二) 廣東省金融類App數(shù)量居
從省級區(qū)域來看,廣東省金融類App數(shù)量占全國總量的24.45%,位居第一;北京市金融類App數(shù)量占全國總量的14.15%,位居第二;上海市占全國總量的10.52%,穩(wěn)居第三。以下是排名TOP10的情況:
應(yīng)用數(shù)量占比TOP10
四、本季度增量情況
(一) Android應(yīng)用數(shù)量8月份環(huán)比倍數(shù)增長
本季度新增Android應(yīng)用數(shù)量共計(jì)89436款,從月度上看,本季度Android應(yīng)用數(shù)量增速8月份環(huán)比增長最快,環(huán)比增加25.85%,但7月新增應(yīng)用共計(jì)23548款,環(huán)比下降27.57%。詳見圖8:
月度環(huán)比增速圖
本季度教育類App增量最多
從應(yīng)用行業(yè)上看,教育類仍是新增移動(dòng)App的主要類別,占新增應(yīng)用34.4%;金融類新增數(shù)量位列第二,占新增應(yīng)用31.2%;政企類新增數(shù)量位列第三,占新增應(yīng)用的18.6%;詳見下圖:
新增移動(dòng)App行業(yè)Top10分布圖
(二) 應(yīng)用監(jiān)測渠道增量情況
應(yīng)用監(jiān)測渠道7月增長較快
本季度應(yīng)用監(jiān)測新增渠道趨勢較為平緩,新增應(yīng)用渠道共計(jì)44個(gè),7月份新增28個(gè)渠道,8月份新增8個(gè)渠道。詳見下圖:
新增渠道情況
2.新增渠道中,服務(wù)器在廣東、湖北、上海的最多
從新增渠道分布區(qū)域上看,服務(wù)器在香港的渠道增量最多,占新增渠道13.64%。詳見下圖:
新增渠道所屬區(qū)域
五、移動(dòng)App個(gè)人信息安全概況
(一)個(gè)人信息檢測違規(guī)分布情況
第三季度,針對全國移動(dòng)App進(jìn)行了個(gè)人信息合規(guī)性抽樣檢測,其中,56.87%的應(yīng)用存在“違規(guī)收集個(gè)人信息”的違規(guī)情況;55.60%的應(yīng)用存在“超范圍收集個(gè)人信息”的違規(guī)情況;19.16%的應(yīng)用存在“App強(qiáng)制、頻繁、過度索取權(quán)限”的違規(guī)情況。綜合上述,建議監(jiān)管機(jī)構(gòu)督促企業(yè)加強(qiáng)個(gè)人信息相關(guān)的法律法規(guī)宣傳,加強(qiáng)對App的開發(fā)企業(yè)、運(yùn)營企業(yè)的通報(bào)處罰力度。作為責(zé)任主體,相關(guān)企業(yè)應(yīng)做到遵紀(jì)守法,按照相關(guān)政策標(biāo)準(zhǔn)的要求自查自糾;用戶應(yīng)提高隱私保護(hù)意識,提防“流氓”App,注重個(gè)人的隱私。個(gè)人信息違規(guī)類型詳見下圖:
個(gè)人信息違規(guī)類型分布
(二)個(gè)人信息檢測違規(guī)移動(dòng)App功能類型分布
從功能類型分類來看,存在個(gè)人信息違規(guī)性問題的應(yīng)用辦公學(xué)習(xí)類占違規(guī)總量的21.98%,位居第一;其次是生活實(shí)用類占違規(guī)總量的20.39%,位居第二;網(wǎng)上購物類占違規(guī)總量的8.90%,位居第三。辦公學(xué)習(xí)類的App受眾面廣,且應(yīng)用數(shù)量較多。詳見下圖:
個(gè)人信息檢測違規(guī)App功能類型分布
(三)移動(dòng)App個(gè)人信息安全案例分析
1.越權(quán)設(shè)置密碼
(1)將client_id替換為注冊的另一個(gè)賬號的client_id(此參數(shù)可通過遍歷獲取所有用戶的id)
(2)退出當(dāng)前賬號,登錄剛才越權(quán)修改client_id對應(yīng)的另一個(gè)賬號,可以看到昵稱已經(jīng)被成功越權(quán)修改為具有一定誘導(dǎo)性的內(nèi)容。
同時(shí),昵稱長度限制為客戶端本地驗(yàn)證,可通過抓包修改繞過此限制:
結(jié)果分析:該APP僅通過參數(shù)client_id來進(jìn)行身份識別,因此通過遍歷,修改此client_id參數(shù),即可越權(quán)修改對應(yīng)的用戶的相關(guān)信息。
2.數(shù)據(jù)明文傳輸
對App請求與相應(yīng)數(shù)據(jù)包進(jìn)行抓取分析后發(fā)現(xiàn),某App交互數(shù)據(jù)包均未進(jìn)行加密處理,且返回?cái)?shù)據(jù)內(nèi)可見明文電話號碼、token等信息。
結(jié)果分析:App應(yīng)對涉及個(gè)人敏感信息、重要數(shù)據(jù)等的數(shù)據(jù)包加密處理,并對關(guān)鍵加密算法所在的so庫進(jìn)行加殼、混淆等防護(hù),保護(hù)App數(shù)據(jù)傳輸及加解密機(jī)制安全。
六、第三季度移動(dòng)App安全風(fēng)險(xiǎn)監(jiān)測評估
(一)“人臉識別”是一種趨勢,亦是一種潛在風(fēng)險(xiǎn)
隨著科技的發(fā)展,App的功能也越發(fā)強(qiáng)大,開發(fā)者在開發(fā)App 時(shí),希望應(yīng)用能夠快速的打開并且運(yùn)行。從一開始的輸入密碼解鎖到指紋解鎖,再到最后的人臉識別解鎖功能;App功能在強(qiáng)大的同時(shí),伴隨的風(fēng)險(xiǎn)也在加深。“人臉識別”是技術(shù)通過相機(jī)功能針對用戶采集并且收集人臉,儲存在后端。而這也給了許多不法分子可乘之機(jī),他們利用人臉識別技術(shù)漏洞謀利:通過人臉在線刷臉技巧,騙過部分手機(jī)App的活體認(rèn)證環(huán)節(jié),實(shí)名認(rèn)證后竊取用戶的個(gè)人信息并進(jìn)行販賣、網(wǎng)貸等不法手段。
App被授予人臉識別技術(shù),也不乏有惡意App收集相關(guān)人臉信息,進(jìn)行灰色產(chǎn)業(yè)的交易,而我們在使用此技術(shù)帶來的便利同時(shí),也要保持謹(jǐn)慎的心態(tài),使用從官網(wǎng)、認(rèn)證并且知名的渠道下載的應(yīng)用。
(二)網(wǎng)絡(luò)安全離不開安全技術(shù)和產(chǎn)業(yè)的支撐
沒有網(wǎng)絡(luò)安全就沒有國家安全,就沒有經(jīng)濟(jì)社會穩(wěn)定運(yùn)行,廣大人民群眾利益也難以得到保障。當(dāng)前,各種形式的網(wǎng)絡(luò)攻擊、惡意代碼、安全漏洞層出不窮,對關(guān)鍵信息基礎(chǔ)設(shè)施安全、數(shù)據(jù)安全、個(gè)人信息安全構(gòu)成嚴(yán)重威脅。網(wǎng)絡(luò)安全的本質(zhì)是技術(shù)對抗,保障網(wǎng)絡(luò)安全離不開網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)的有力支撐。
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與每日科技網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
本網(wǎng)站有部分內(nèi)容均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé),若因作品內(nèi)容、知識產(chǎn)權(quán)、版權(quán)和其他問題,請及時(shí)提供相關(guān)證明等材料并與我們聯(lián)系,本網(wǎng)站將在規(guī)定時(shí)間內(nèi)給予刪除等相關(guān)處理.
精彩推薦
-
采購拿回扣問題,教你一個(gè)小妙招,看看怎么做!
2017-09-18 11:09 廣告 閱讀
-
苦逼的老板,教你一個(gè)小妙招,怎么防采購拿回扣!
2017-09-18 11:09 廣告 閱讀
-
傳播易推出商機(jī)寶“客戶推薦”功能 今天正式上
2021-01-05 17:10:46 更新 閱讀
-
尖貨爆料!速來【數(shù)碼預(yù)爆臺】領(lǐng)取618福利和AI新
2024-06-21 18:33:22 更新 閱讀
-
喜獲國際設(shè)計(jì)大獎(jiǎng)丨十字勛章減重大師Pro商務(wù)背包
2024-06-12 14:04:28 更新 閱讀
-
Baseus倍思音頻品鑒會:一場產(chǎn)品與技術(shù)的對話
2024-05-29 11:13:32 更新 閱讀
-
212攜手極致軍工品質(zhì),煥新出發(fā)
2024-05-22 21:16:00 更新 閱讀
-
第四屆全球應(yīng)用算法BPAA大賽再度升級,增添三大
2024-05-17 17:55:36 更新 閱讀
-
三維天地助力實(shí)驗(yàn)室質(zhì)量管理工作無紙化、流程化
2024-05-09 15:35:04 更新 閱讀