热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

全国移动App第三季度安全研究报告

 20

 

2021年10月,北京智游网安科技有限公司(爱加密)联合移动互联网系统与应用安全国家工程实验室(以下简称:国家工程实验室)发布了《全国移动App风险监测评估报告》(2021年3季度版)。

本次评估报告包括全国移动App安全概况、全国App功能分布、金融类App分布概况、本季度增量情况、移动App个人信息安全概况、第三季度移动App安全风险监测评估等内容。App风险监测评估报告面向社会公众免费发布,为行业用户了解App安全提供了参考,也为个人用户开启了一扇了解当下App安全热点的窗户。

爱加密和国家工程实验室后续会加大合作力度,把“全国移动App风险监测评估”作为常态化合作内容,风险监测评估报告每季度发布。

一、全国移动App概况

根据移动互联网系统与应用安全国家工程实验室(以下简称国家工程实验室)和爱加密移动应用大数据平台提供的数据,截止9月底大数据平台共计收录Android移动App 347万款,其中70%以上存在高危漏洞威胁;34.17%的App嵌入工具类的SDK。

(一)应用宝移动App数量占总量的21.40%

截止到本季度纳入监测的应用渠道数量总计约900个,其中应用数量排名前三列的分别是:应用宝,共计应用714757款,占渠道总应用数量的20.57%;360市场,共计618611款,占总应用数量的17.80%;豌豆荚,共计533215款,占总应用数量的15.34%。以下是各渠道应用排行前十的情况:

各渠道应用排行TOP10

(二)高危漏洞呈逐渐增长趋势

本次主要对10类94项风险漏洞进行监测分析,发现70%以上的App存在漏洞风险。约248万款Android最新版本应用包通过移动应用安全平台进行风险监测,其中,有高危漏洞的App约183万款,占监测应用总数的73.78%。截止到本季度排名前三的漏洞分别是:Janus漏洞、截屏攻击风险、Java代码加壳检测。详见下图:

存在漏洞的App数量统计图

(三)第三方SDK应用广泛,数据安全存在隐患

第三方SDK通常是造成用户个人信息在网上“裸奔”的罪魁祸首。监测发现截止9月底,共计1774934款App嵌入工具类的SDK,占比34.17%;494746款App嵌入推送类的SDK,占比9.52%;447107款App嵌入框架类的SDK,占比8.61%,详见下图:

不同类型SDK对应的App分布情况

(四)各省份移动App加固情况

从加固App区域分布来看,北京、广东发达地区App加固量排名靠前,加固占比最多。

加固App省份Top10

经统计,安全加固排名前三列的分别是:北京市占总量的25.12%,共计应用79448款;广东省市占总量的24.90%,共计应用78778款;湖北省占总量的7.43%,共计应用23506款,以下是前十占比情况:

加固App数量省份占比前十分布

北京以25.12%的市场份额成为汇聚加固App数量最多的省份,而西藏、澳门等省份加固App数量较少。详情如下:

加固App数量较少的省份分布情况

 

二、全国App功能分布


(一)游戏App稳居市场总应用的首位

从全国移动App功能应用细分领域来看,游戏类App的数量占据首位,占市场应用的43.9%,约98万款;生活实用类的App占市场应用的12.0%,约27万款;系统工具类的App占市场应用的7.0%,约16万款。不同细分领域App占比如下所示:

不同细分领域AppTop10数量及占比

(二)其他功能App分布情况

排名第4到第10的行业分别是办公学习、资讯阅读、金融理财、拍摄美化,总和未超过50%。其中:办公学习类App约14万款,占比6.4%;资讯阅读类App约13万款,占比5.6%;金融理财类App约9万款,占比4.2%。详情见下图:

其他功能Apps数量分布

 

三、金融类App分布概况


(一) 超三成App分布在华东地区

金融类App遍布全国各地,有94724款可以根据区域划分规则明确归属地,以下区域分布仅基于这94724款做分析。从大区来看,华东地区App数量位居第一,占App总量的36.02%;其次是华南地区,占总量的26.21%;华北地区位列第三,占总量的16.74%。详见下图:

App大区分布图

(二) 广东省金融类App数量居全国第一

从省级区域来看,广东省金融类App数量占全国总量的24.45%,位居第一;北京市金融类App数量占全国总量的14.15%,位居第二;上海市占全国总量的10.52%,稳居第三。以下是排名TOP10的情况:

应用数量占比TOP10

 

四、本季度增量情况


(一) Android应用数量8月份环比倍数增长

本季度新增Android应用数量共计89436款,从月度上看,本季度Android应用数量增速8月份环比增长最快,环比增加25.85%,但7月新增应用共计23548款,环比下降27.57%。详见图8:

月度环比增速图

1.本季度教育类App增量最多

从应用行业上看,教育类仍是新增移动App的主要类别,占新增应用34.4%;金融类新增数量位列第二,占新增应用31.2%;政企类新增数量位列第三,占新增应用的18.6%;详见下图:

新增移动App行业Top10分布图

(二) 应用监测渠道增量情况

1.应用监测渠道7月增长较快

本季度应用监测新增渠道趋势较为平缓,新增应用渠道共计44个,7月份新增28个渠道,8月份新增8个渠道。详见下图:

新增渠道情况

2.新增渠道中,服务器在广东、湖北、上海的最多

从新增渠道分布区域上看,服务器在香港的渠道增量最多,占新增渠道13.64%。详见下图:

新增渠道所属区域

 

五、移动App个人信息安全概况


(一)个人信息检测违规分布情况

第三季度,针对全国移动App进行了个人信息合规性抽样检测,其中,56.87%的应用存在“违规收集个人信息”的违规情况;55.60%的应用存在“超范围收集个人信息”的违规情况;19.16%的应用存在“App强制、频繁、过度索取权限”的违规情况。综合上述,建议监管机构督促企业加强个人信息相关的法律法规宣传,加强对App的开发企业、运营企业的通报处罚力度。作为责任主体,相关企业应做到遵纪守法,按照相关政策标准的要求自查自纠;用户应提高隐私保护意识,提防“流氓”App,注重个人的隐私。个人信息违规类型详见下图:

个人信息违规类型分布

(二)个人信息检测违规移动App功能类型分布

从功能类型分类来看,存在个人信息违规性问题的应用办公学习类占违规总量的21.98%,位居第一;其次是生活实用类占违规总量的20.39%,位居第二;网上购物类占违规总量的8.90%,位居第三。办公学习类的App受众面广,且应用数量较多。详见下图:

个人信息检测违规App功能类型分布

(三)移动App个人信息安全案例分析

1.越权设置密码

(1)将client_id替换为注册的另一个账号的client_id(此参数可通过遍历获取所有用户的id)

(2)退出当前账号,登录刚才越权修改client_id对应的另一个账号,可以看到昵称已经被成功越权修改为具有一定诱导性的内容。

同时,昵称长度限制为客户端本地验证,可通过抓包修改绕过此限制:

结果分析:该APP仅通过参数client_id来进行身份识别,因此通过遍历,修改此client_id参数,即可越权修改对应的用户的相关信息。

2.数据明文传输

对App请求与相应数据包进行抓取分析后发现,某App交互数据包均未进行加密处理,且返回数据内可见明文电话号码、token等信息。

结果分析:App应对涉及个人敏感信息、重要数据等的数据包加密处理,并对关键加密算法所在的so库进行加壳、混淆等防护,保护App数据传输及加解密机制安全。

 

六、第三季度移动App安全风险监测评估


(一)“人脸识别”是一种趋势,亦是一种潜在风险

随着科技的发展,App的功能也越发强大,开发者在开发App 时,希望应用能够快速的打开并且运行。从一开始的输入密码解锁到指纹解锁,再到最后的人脸识别解锁功能;App功能在强大的同时,伴随的风险也在加深。“人脸识别”是技术通过相机功能针对用户采集并且收集人脸,储存在后端。而这也给了许多不法分子可乘之机,他们利用人脸识别技术漏洞谋利:通过人脸在线刷脸技巧,骗过部分手机App的活体认证环节,实名认证后窃取用户的个人信息并进行贩卖、网贷等不法手段。

App被授予人脸识别技术,也不乏有恶意App收集相关人脸信息,进行灰色产业的交易,而我们在使用此技术带来的便利同时,也要保持谨慎的心态,使用从官网、认证并且知名的渠道下载的应用。

(二)网络安全离不开安全技术和产业的支撑

没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。当前,各种形式的网络攻击、黑客入侵、恶意代码、安全漏洞层出不穷,对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗,保障网络安全离不开网络安全技术和产业的有力支撑。

移动互联网系统与应用安全国家工程实验室

北京智游网安科技有限公司

2021年10月23日


推荐阅读
  • 优化后的标题:深入探讨网关安全:将微服务升级为OAuth2资源服务器的最佳实践
    本文深入探讨了如何将微服务升级为OAuth2资源服务器,以订单服务为例,详细介绍了在POM文件中添加 `spring-cloud-starter-oauth2` 依赖,并配置Spring Security以实现对微服务的保护。通过这一过程,不仅增强了系统的安全性,还提高了资源访问的可控性和灵活性。文章还讨论了最佳实践,包括如何配置OAuth2客户端和资源服务器,以及如何处理常见的安全问题和错误。 ... [详细]
  • Java Socket 关键参数详解与优化建议
    Java Socket 的 API 虽然被广泛使用,但其关键参数的用途却鲜为人知。本文详细解析了 Java Socket 中的重要参数,如 backlog 参数,它用于控制服务器等待连接请求的队列长度。此外,还探讨了其他参数如 SO_TIMEOUT、SO_REUSEADDR 等的配置方法及其对性能的影响,并提供了优化建议,帮助开发者提升网络通信的稳定性和效率。 ... [详细]
  • 本文详细介绍了如何在Java Web服务器上部署音视频服务,并提供了完整的验证流程。以AnyChat为例,这是一款跨平台的音视频解决方案,广泛应用于需要实时音视频交互的项目中。通过具体的部署步骤和测试方法,确保了音视频服务的稳定性和可靠性。 ... [详细]
  • 本文详细解析了微信服务端示例类的功能与应用。其中,`ClientResponseHandler` 类主要用于处理微信支付所需的响应数据,而 `TenpayHttpClient` 则是对 HTTP 请求(包括 GET 和 POST 方法)进行了封装,以便在内部调用时更加便捷和高效。这些工具类在实际开发中起到了关键作用,开发者无需深入了解其底层实现细节,即可轻松集成微信支付功能。 ... [详细]
  • FastDFS Nginx 扩展模块的源代码解析与技术剖析
    FastDFS Nginx 扩展模块的源代码解析与技术剖析 ... [详细]
  • 本文详细介绍了Java代码分层的基本概念和常见分层模式,特别是MVC模式。同时探讨了不同项目需求下的分层策略,帮助读者更好地理解和应用Java分层思想。 ... [详细]
  • 本文详细介绍了如何使用OpenSSL自建CA证书的步骤,包括准备工作、生成CA证书、生成服务器待签证书以及证书签名等过程。 ... [详细]
  • 应用链时代,详解 Avalanche 与 Cosmos 的差异 ... [详细]
  • Python 数据可视化实战指南
    本文详细介绍如何使用 Python 进行数据可视化,涵盖从环境搭建到具体实例的全过程。 ... [详细]
  • 在2019中国国际智能产业博览会上,百度董事长兼CEO李彦宏强调,人工智能应务实推进其在各行业的应用。随后,在“ABC SUMMIT 2019百度云智峰会”上,百度展示了通过“云+AI”推动AI工业化和产业智能化的最新成果。 ... [详细]
  • Hyperledger Fabric 1.4 节点 SDK 快速入门指南
    本文将详细介绍如何利用 Hyperledger Fabric 1.4 的 Node.js SDK 开发应用程序。通过最新版本的 Fabric Node.js SDK,开发者可以更高效地构建和部署基于区块链的应用,实现数据的安全共享和交易处理。文章将涵盖环境配置、SDK 安装、示例代码以及常见问题的解决方法,帮助读者快速上手并掌握核心功能。 ... [详细]
  • 本文深入解析了通过JDBC实现ActiveMQ消息持久化的机制。JDBC能够将消息可靠地存储在多种关系型数据库中,如MySQL、SQL Server、Oracle和DB2等。采用JDBC持久化方式时,数据库会自动生成三个关键表:`activemq_msgs`、`activemq_lock`和`activemq_ACKS`,分别用于存储消息数据、锁定信息和确认状态。这种机制不仅提高了消息的可靠性,还增强了系统的可扩展性和容错能力。 ... [详细]
  • 深入解析HTTP网络请求API:从基础到进阶的全面指南
    本文全面解析了HTTP网络请求API,从基础到进阶,详细介绍了Android平台上的两种原生API——HttpUrlConnection和HttpClient。这两种API通过对底层Socket的封装,提供了高效、灵活的网络通信功能。文章不仅涵盖了基本的使用方法,还深入探讨了性能优化、错误处理和安全性等方面的高级主题,帮助开发者更好地理解和应用这些工具。 ... [详细]
  • 解决Android应用在手机安装时出现安全风险提示的方法与对策
    解决Android应用在手机安装时出现安全风险提示的方法与对策 ... [详细]
  • C#微信开发入门教程第二篇:新手快速上手指南,含详细视频讲解
    在距离上次课程一个多星期后,我们终于带来了第二讲的内容。虽然原计划是一周一次更新,但由于工作繁忙有所延迟。近期在交流群中发现,一些初学者已经能够熟练调用微信接口,但对微信公众平台的消息接收处理机制还不够了解。因此,本次课程将详细介绍如何高效处理微信公众平台的消息接收,并提供详细的视频讲解,帮助大家快速上手。 ... [详细]
author-avatar
yyuunn传奇
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有