全国移动App第三季度安全研究报告

2021年10月，北京智游网安科技有限公司（爱加密）联合移动互联网系统与应用安全国家工程实验室（以下简称：国家工程实验室）发布了《全国移动App风险监测评估报告》（2021年3季度版）。

本次评估报告包括全国移动App安全概况、全国App功能分布、金融类App分布概况、本季度增量情况、移动App个人信息安全概况、第三季度移动App安全风险监测评估等内容。App风险监测评估报告面向社会公众免费发布，为行业用户了解App安全提供了参考，也为个人用户开启了一扇了解当下App安全热点的窗户。

爱加密和国家工程实验室后续会加大合作力度，把“全国移动App风险监测评估”作为常态化合作内容，风险监测评估报告每季度发布。

一、全国移动App概况

根据移动互联网系统与应用安全国家工程实验室（以下简称国家工程实验室）和爱加密移动应用大数据平台提供的数据，截止9月底大数据平台共计收录Android移动App 347万款，其中70%以上存在高危漏洞威胁；34.17%的App嵌入工具类的SDK。

（一）应用宝移动App数量占总量的21.40%

截止到本季度纳入监测的应用渠道数量总计约900个，其中应用数量排名前三列的分别是：应用宝，共计应用714757款，占渠道总应用数量的20.57%；360市场，共计618611款，占总应用数量的17.80%；豌豆荚，共计533215款，占总应用数量的15.34%。以下是各渠道应用排行前十的情况：

各渠道应用排行TOP10

（二）高危漏洞呈逐渐增长趋势

本次主要对10类94项风险漏洞进行监测分析，发现70%以上的App存在漏洞风险。约248万款Android最新版本应用包通过移动应用安全平台进行风险监测，其中，有高危漏洞的App约183万款，占监测应用总数的73.78%。截止到本季度排名前三的漏洞分别是：Janus漏洞、截屏攻击风险、Java代码加壳检测。详见下图：

存在漏洞的App数量统计图

（三）第三方SDK应用广泛，数据安全存在隐患

第三方SDK通常是造成用户个人信息在网上“裸奔”的罪魁祸首。监测发现截止9月底，共计1774934款App嵌入工具类的SDK，占比34.17%；494746款App嵌入推送类的SDK，占比9.52%；447107款App嵌入框架类的SDK，占比8.61%，详见下图：

不同类型SDK对应的App分布情况

（四）各省份移动App加固情况

从加固App区域分布来看，北京、广东发达地区App加固量排名靠前，加固占比最多。

加固App省份Top10

经统计，安全加固排名前三列的分别是：北京市占总量的25.12%，共计应用79448款；广东省市占总量的24.90%，共计应用78778款；湖北省占总量的7.43%，共计应用23506款，以下是前十占比情况：

加固App数量省份占比前十分布

北京以25.12%的市场份额成为汇聚加固App数量最多的省份，而西藏、澳门等省份加固App数量较少。详情如下：

加固App数量较少的省份分布情况

二、全国App功能分布

（一）游戏App稳居市场总应用的首位

从全国移动App功能应用细分领域来看，游戏类App的数量占据首位，占市场应用的43.9%，约98万款；生活实用类的App占市场应用的12.0%，约27万款；系统工具类的App占市场应用的7.0%，约16万款。不同细分领域App占比如下所示：

不同细分领域AppTop10数量及占比

（二）其他功能App分布情况

排名第4到第10的行业分别是办公学习、资讯阅读、金融理财、拍摄美化，总和未超过50%。其中：办公学习类App约14万款，占比6.4%；资讯阅读类App约13万款，占比5.6%；金融理财类App约9万款，占比4.2%。详情见下图：

其他功能Apps数量分布

三、金融类App分布概况

（一） 超三成App分布在华东地区

金融类App遍布全国各地，有94724款可以根据区域划分规则明确归属地，以下区域分布仅基于这94724款做分析。从大区来看，华东地区App数量位居第一，占App总量的36.02%；其次是华南地区，占总量的26.21%；华北地区位列第三，占总量的16.74%。详见下图：

App大区分布图

（二） 广东省金融类App数量居全国第一

从省级区域来看，广东省金融类App数量占全国总量的24.45%，位居第一；北京市金融类App数量占全国总量的14.15%，位居第二；上海市占全国总量的10.52%，稳居第三。以下是排名TOP10的情况：

应用数量占比TOP10

四、本季度增量情况

（一） Android应用数量8月份环比倍数增长

本季度新增Android应用数量共计89436款，从月度上看，本季度Android应用数量增速8月份环比增长最快，环比增加25.85%，但7月新增应用共计23548款，环比下降27.57%。详见图8：

月度环比增速图

1.本季度教育类App增量最多

从应用行业上看，教育类仍是新增移动App的主要类别，占新增应用34.4%；金融类新增数量位列第二，占新增应用31.2%；政企类新增数量位列第三，占新增应用的18.6%；详见下图：

新增移动App行业Top10分布图

（二） 应用监测渠道增量情况

1.应用监测渠道7月增长较快

本季度应用监测新增渠道趋势较为平缓，新增应用渠道共计44个，7月份新增28个渠道，8月份新增8个渠道。详见下图：

新增渠道情况

2.新增渠道中，服务器在广东、湖北、上海的最多

从新增渠道分布区域上看，服务器在香港的渠道增量最多，占新增渠道13.64%。详见下图：

新增渠道所属区域

五、移动App个人信息安全概况

（一）个人信息检测违规分布情况

第三季度，针对全国移动App进行了个人信息合规性抽样检测，其中，56.87%的应用存在“违规收集个人信息”的违规情况;55.60%的应用存在“超范围收集个人信息”的违规情况;19.16%的应用存在“App强制、频繁、过度索取权限”的违规情况。综合上述，建议监管机构督促企业加强个人信息相关的法律法规宣传，加强对App的开发企业、运营企业的通报处罚力度。作为责任主体，相关企业应做到遵纪守法，按照相关政策标准的要求自查自纠；用户应提高隐私保护意识，提防“流氓”App，注重个人的隐私。个人信息违规类型详见下图：

个人信息违规类型分布

（二）个人信息检测违规移动App功能类型分布

从功能类型分类来看，存在个人信息违规性问题的应用办公学习类占违规总量的21.98%，位居第一；其次是生活实用类占违规总量的20.39%，位居第二；网上购物类占违规总量的8.90%，位居第三。办公学习类的App受众面广，且应用数量较多。详见下图：

个人信息检测违规App功能类型分布

（三）移动App个人信息安全案例分析

1.越权设置密码

（1）将client_id替换为注册的另一个账号的client_id（此参数可通过遍历获取所有用户的id）

（2）退出当前账号，登录刚才越权修改client_id对应的另一个账号，可以看到昵称已经被成功越权修改为具有一定诱导性的内容。

同时，昵称长度限制为客户端本地验证，可通过抓包修改绕过此限制：

结果分析：该APP仅通过参数client_id来进行身份识别，因此通过遍历，修改此client_id参数，即可越权修改对应的用户的相关信息。

2.数据明文传输

对App请求与相应数据包进行抓取分析后发现，某App交互数据包均未进行加密处理，且返回数据内可见明文电话号码、token等信息。

结果分析：App应对涉及个人敏感信息、重要数据等的数据包加密处理，并对关键加密算法所在的so库进行加壳、混淆等防护，保护App数据传输及加解密机制安全。

六、第三季度移动App安全风险监测评估

（一）“人脸识别”是一种趋势，亦是一种潜在风险

随着科技的发展，App的功能也越发强大，开发者在开发App 时，希望应用能够快速的打开并且运行。从一开始的输入密码解锁到指纹解锁，再到最后的人脸识别解锁功能；App功能在强大的同时，伴随的风险也在加深。“人脸识别”是技术通过相机功能针对用户采集并且收集人脸，储存在后端。而这也给了许多不法分子可乘之机，他们利用人脸识别技术漏洞谋利：通过人脸在线刷脸技巧，骗过部分手机App的活体认证环节，实名认证后窃取用户的个人信息并进行贩卖、网贷等不法手段。

App被授予人脸识别技术，也不乏有恶意App收集相关人脸信息，进行灰色产业的交易，而我们在使用此技术带来的便利同时，也要保持谨慎的心态，使用从官网、认证并且知名的渠道下载的应用。

（二）网络安全离不开安全技术和产业的支撑

没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。当前，各种形式的网络攻击、黑客入侵、恶意代码、安全漏洞层出不穷，对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗，保障网络安全离不开网络安全技术和产业的有力支撑。

移动互联网系统与应用安全国家工程实验室

北京智游网安科技有限公司

2021年10月23日