热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

全国移动App第三季度安全研究报告

 20

 

2021年10月,北京智游网安科技有限公司(爱加密)联合移动互联网系统与应用安全国家工程实验室(以下简称:国家工程实验室)发布了《全国移动App风险监测评估报告》(2021年3季度版)。

本次评估报告包括全国移动App安全概况、全国App功能分布、金融类App分布概况、本季度增量情况、移动App个人信息安全概况、第三季度移动App安全风险监测评估等内容。App风险监测评估报告面向社会公众免费发布,为行业用户了解App安全提供了参考,也为个人用户开启了一扇了解当下App安全热点的窗户。

爱加密和国家工程实验室后续会加大合作力度,把“全国移动App风险监测评估”作为常态化合作内容,风险监测评估报告每季度发布。

一、全国移动App概况

根据移动互联网系统与应用安全国家工程实验室(以下简称国家工程实验室)和爱加密移动应用大数据平台提供的数据,截止9月底大数据平台共计收录Android移动App 347万款,其中70%以上存在高危漏洞威胁;34.17%的App嵌入工具类的SDK。

(一)应用宝移动App数量占总量的21.40%

截止到本季度纳入监测的应用渠道数量总计约900个,其中应用数量排名前三列的分别是:应用宝,共计应用714757款,占渠道总应用数量的20.57%;360市场,共计618611款,占总应用数量的17.80%;豌豆荚,共计533215款,占总应用数量的15.34%。以下是各渠道应用排行前十的情况:

各渠道应用排行TOP10

(二)高危漏洞呈逐渐增长趋势

本次主要对10类94项风险漏洞进行监测分析,发现70%以上的App存在漏洞风险。约248万款Android最新版本应用包通过移动应用安全平台进行风险监测,其中,有高危漏洞的App约183万款,占监测应用总数的73.78%。截止到本季度排名前三的漏洞分别是:Janus漏洞、截屏攻击风险、Java代码加壳检测。详见下图:

存在漏洞的App数量统计图

(三)第三方SDK应用广泛,数据安全存在隐患

第三方SDK通常是造成用户个人信息在网上“裸奔”的罪魁祸首。监测发现截止9月底,共计1774934款App嵌入工具类的SDK,占比34.17%;494746款App嵌入推送类的SDK,占比9.52%;447107款App嵌入框架类的SDK,占比8.61%,详见下图:

不同类型SDK对应的App分布情况

(四)各省份移动App加固情况

从加固App区域分布来看,北京、广东发达地区App加固量排名靠前,加固占比最多。

加固App省份Top10

经统计,安全加固排名前三列的分别是:北京市占总量的25.12%,共计应用79448款;广东省市占总量的24.90%,共计应用78778款;湖北省占总量的7.43%,共计应用23506款,以下是前十占比情况:

加固App数量省份占比前十分布

北京以25.12%的市场份额成为汇聚加固App数量最多的省份,而西藏、澳门等省份加固App数量较少。详情如下:

加固App数量较少的省份分布情况

 

二、全国App功能分布


(一)游戏App稳居市场总应用的首位

从全国移动App功能应用细分领域来看,游戏类App的数量占据首位,占市场应用的43.9%,约98万款;生活实用类的App占市场应用的12.0%,约27万款;系统工具类的App占市场应用的7.0%,约16万款。不同细分领域App占比如下所示:

不同细分领域AppTop10数量及占比

(二)其他功能App分布情况

排名第4到第10的行业分别是办公学习、资讯阅读、金融理财、拍摄美化,总和未超过50%。其中:办公学习类App约14万款,占比6.4%;资讯阅读类App约13万款,占比5.6%;金融理财类App约9万款,占比4.2%。详情见下图:

其他功能Apps数量分布

 

三、金融类App分布概况


(一) 超三成App分布在华东地区

金融类App遍布全国各地,有94724款可以根据区域划分规则明确归属地,以下区域分布仅基于这94724款做分析。从大区来看,华东地区App数量位居第一,占App总量的36.02%;其次是华南地区,占总量的26.21%;华北地区位列第三,占总量的16.74%。详见下图:

App大区分布图

(二) 广东省金融类App数量居全国第一

从省级区域来看,广东省金融类App数量占全国总量的24.45%,位居第一;北京市金融类App数量占全国总量的14.15%,位居第二;上海市占全国总量的10.52%,稳居第三。以下是排名TOP10的情况:

应用数量占比TOP10

 

四、本季度增量情况


(一) Android应用数量8月份环比倍数增长

本季度新增Android应用数量共计89436款,从月度上看,本季度Android应用数量增速8月份环比增长最快,环比增加25.85%,但7月新增应用共计23548款,环比下降27.57%。详见图8:

月度环比增速图

1.本季度教育类App增量最多

从应用行业上看,教育类仍是新增移动App的主要类别,占新增应用34.4%;金融类新增数量位列第二,占新增应用31.2%;政企类新增数量位列第三,占新增应用的18.6%;详见下图:

新增移动App行业Top10分布图

(二) 应用监测渠道增量情况

1.应用监测渠道7月增长较快

本季度应用监测新增渠道趋势较为平缓,新增应用渠道共计44个,7月份新增28个渠道,8月份新增8个渠道。详见下图:

新增渠道情况

2.新增渠道中,服务器在广东、湖北、上海的最多

从新增渠道分布区域上看,服务器在香港的渠道增量最多,占新增渠道13.64%。详见下图:

新增渠道所属区域

 

五、移动App个人信息安全概况


(一)个人信息检测违规分布情况

第三季度,针对全国移动App进行了个人信息合规性抽样检测,其中,56.87%的应用存在“违规收集个人信息”的违规情况;55.60%的应用存在“超范围收集个人信息”的违规情况;19.16%的应用存在“App强制、频繁、过度索取权限”的违规情况。综合上述,建议监管机构督促企业加强个人信息相关的法律法规宣传,加强对App的开发企业、运营企业的通报处罚力度。作为责任主体,相关企业应做到遵纪守法,按照相关政策标准的要求自查自纠;用户应提高隐私保护意识,提防“流氓”App,注重个人的隐私。个人信息违规类型详见下图:

个人信息违规类型分布

(二)个人信息检测违规移动App功能类型分布

从功能类型分类来看,存在个人信息违规性问题的应用办公学习类占违规总量的21.98%,位居第一;其次是生活实用类占违规总量的20.39%,位居第二;网上购物类占违规总量的8.90%,位居第三。办公学习类的App受众面广,且应用数量较多。详见下图:

个人信息检测违规App功能类型分布

(三)移动App个人信息安全案例分析

1.越权设置密码

(1)将client_id替换为注册的另一个账号的client_id(此参数可通过遍历获取所有用户的id)

(2)退出当前账号,登录刚才越权修改client_id对应的另一个账号,可以看到昵称已经被成功越权修改为具有一定诱导性的内容。

同时,昵称长度限制为客户端本地验证,可通过抓包修改绕过此限制:

结果分析:该APP仅通过参数client_id来进行身份识别,因此通过遍历,修改此client_id参数,即可越权修改对应的用户的相关信息。

2.数据明文传输

对App请求与相应数据包进行抓取分析后发现,某App交互数据包均未进行加密处理,且返回数据内可见明文电话号码、token等信息。

结果分析:App应对涉及个人敏感信息、重要数据等的数据包加密处理,并对关键加密算法所在的so库进行加壳、混淆等防护,保护App数据传输及加解密机制安全。

 

六、第三季度移动App安全风险监测评估


(一)“人脸识别”是一种趋势,亦是一种潜在风险

随着科技的发展,App的功能也越发强大,开发者在开发App 时,希望应用能够快速的打开并且运行。从一开始的输入密码解锁到指纹解锁,再到最后的人脸识别解锁功能;App功能在强大的同时,伴随的风险也在加深。“人脸识别”是技术通过相机功能针对用户采集并且收集人脸,储存在后端。而这也给了许多不法分子可乘之机,他们利用人脸识别技术漏洞谋利:通过人脸在线刷脸技巧,骗过部分手机App的活体认证环节,实名认证后窃取用户的个人信息并进行贩卖、网贷等不法手段。

App被授予人脸识别技术,也不乏有恶意App收集相关人脸信息,进行灰色产业的交易,而我们在使用此技术带来的便利同时,也要保持谨慎的心态,使用从官网、认证并且知名的渠道下载的应用。

(二)网络安全离不开安全技术和产业的支撑

没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。当前,各种形式的网络攻击、黑客入侵、恶意代码、安全漏洞层出不穷,对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗,保障网络安全离不开网络安全技术和产业的有力支撑。

移动互联网系统与应用安全国家工程实验室

北京智游网安科技有限公司

2021年10月23日


推荐阅读
  • 软件测试行业深度解析:迈向高薪的必经之路
    本文深入探讨了软件测试行业的发展现状及未来趋势,旨在帮助有志于在该领域取得高薪的技术人员明确职业方向和发展路径。 ... [详细]
  • 2023年1月28日网络安全热点
    涵盖最新的网络安全动态,包括OpenSSH和WordPress的安全更新、VirtualBox提权漏洞、以及谷歌推出的新证书验证机制等内容。 ... [详细]
  • 本文详细介绍了PHP中的几种超全局变量,包括$GLOBAL、$_SERVER、$_POST、$_GET等,并探讨了AJAX的工作原理及其优缺点。通过具体示例,帮助读者更好地理解和应用这些技术。 ... [详细]
  • Docker安全策略与管理
    本文探讨了Docker的安全挑战、核心安全特性及其管理策略,旨在帮助读者深入理解Docker安全机制,并提供实用的安全管理建议。 ... [详细]
  • 本文档提供了详细的MySQL安装步骤,包括解压安装文件、选择安装类型、配置MySQL服务以及设置管理员密码等关键环节,帮助用户顺利完成MySQL的安装。 ... [详细]
  • 深入浅出:Hadoop架构详解
    Hadoop作为大数据处理的核心技术,包含了一系列组件如HDFS(分布式文件系统)、YARN(资源管理框架)和MapReduce(并行计算模型)。本文将通过实例解析Hadoop的工作原理及其优势。 ... [详细]
  • 本文详细解析了Java中流的概念,特别是OutputStream和InputStream的区别,并通过实际案例介绍了如何实现Java对象的序列化。文章不仅解释了流的基本概念,还探讨了序列化的重要性和具体实现步骤。 ... [详细]
  • 本文详细介绍了跨站脚本攻击(XSS)的基本概念、工作原理,并通过实际案例演示如何构建XSS漏洞的测试环境,以及探讨了XSS攻击的不同形式和防御策略。 ... [详细]
  • 雨林木风 GHOST XP SP3 经典珍藏版 YN2014.04
    雨林木风 GHOST XP SP3 经典珍藏版 YN2014.04 ... [详细]
  • 本文探讨了在不同场景下如何高效且安全地存储Token,包括使用定时器刷新、数据库存储等方法,并针对个人开发者与第三方服务平台的不同需求提供了具体建议。 ... [详细]
  • Java高级工程师学习路径及面试准备指南
    本文基于一位朋友的PDF面试经验整理,涵盖了Java高级工程师所需掌握的核心知识点,包括数据结构与算法、计算机网络、数据库、操作系统等多个方面,并提供了详细的参考资料和学习建议。 ... [详细]
  • 吴石访谈:腾讯安全科恩实验室如何引领物联网安全研究
    腾讯安全科恩实验室曾两次成功破解特斯拉自动驾驶系统,并远程控制汽车,展示了其在汽车安全领域的强大实力。近日,该实验室负责人吴石接受了InfoQ的专访,详细介绍了团队未来的重点方向——物联网安全。 ... [详细]
  • 2023年,Android开发前景如何?25岁还能转行吗?
    近期,关于Android开发行业的讨论在多个平台上热度不减,许多人担忧其未来发展。本文将探讨当前Android开发市场的现状、薪资水平及职业选择建议。 ... [详细]
  • 二维码的实现与应用
    本文介绍了二维码的基本概念、分类及其优缺点,并详细描述了如何使用Java编程语言结合第三方库(如ZXing和qrcode.jar)来实现二维码的生成与解析。 ... [详细]
  • 本文介绍了进程的基本概念及其在操作系统中的重要性,探讨了进程与程序的区别,以及如何通过多进程实现并发和并行。文章还详细讲解了Python中的multiprocessing模块,包括Process类的使用方法、进程间的同步与异步调用、阻塞与非阻塞操作,并通过实例演示了进程池的应用。 ... [详细]
author-avatar
yyuunn传奇
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有