2024年上半年全国移动应用安全观测报告

2024年上半年全国移动应用安全观测报告前言 41.全国移动互联网应用概况 61.1.全国移动互联网应用总量综合情况 61.2.全国移动应用分发渠道分布 71.3.全国活跃移动互联网应用功能类型分布情况 81.4.全国移动互联网应用地域分布情况 91.5.全国移动互联网应用下载量情况 2.全国移动互联网应用在个人信息保护方面情况概述 122.1.个人信息人工深度检测违规情况 2.2.个人信息自动化检测违规情况 2.3.应用申请使用权限情况 2.4.数据跨境传输目的地分布情况 2.5.数据明文传输类型情况 2.6.应用敏感行为情况 2.7.儿童移动智能设备个人信息风险情况分析 183.全国通报应用概况 3.1.通报应用总量综合情况 3.2.通报应用区域分布情况 3.3.通报应用功能类型分布情况 3.4.通报应用版本仍有效渠道分布情况 213.5.通报个人信息问题类型分布情况 4.全国移动互联网应用漏洞风险概况 4.1.各等级风险漏洞情况 4.2.各风险漏洞类型应用排行情况 4.3.各功能类型存在高危风险漏洞的应用排行情况 255.政务类移动应用 5.1.政务类应用概况 5.2.政务类移动应用风险分析 5.3.政务类应用访问域名情况分析 5.4.政务类应用申请使用权限情况 6.流量移动互联网应用情况分析 6.1.流量应用盗版/仿冒应用功能类型分布情况 306.2.流量数据中安全检测情况 6.3.流量数据内容违规应用ip区域分布情况 327.全国移动互联网应用植入恶意程序情况概况 337.1.主要恶意程序风险描述 7.2.恶意应用功能类型分布情况 8.境外SDK情况概述情况 8.1.境外SDK及嵌入境外SDK应用情况分析 358.2.嵌入境外SDK应用个人信息自动化检测违规情况 368.3.嵌入境外SDK应用个人信息违规类型分析 378.4.嵌入境外SDK应用中疑似访问境外ip情况分析 388.5.境外SDK的敏感行为分析 9.移动互联网应用技术安全保护措施 409.1.未采取技术安全保护措施的应用占比情况 409.2.未采取技术安全保护措施的应用功能类型分布情况 4110.个人信息安全保护措施 4210.1.移动应用个人信息安全分析 4210.2.移动应用的数据安全防护的重要性 4211.公司介绍 43前言疫情后时代，经济增速的放缓，互联网和移动应用（App）已成为我们生活动安全领域的专业知识，精心编撰了《2024年上半年全国移动应用安全观测报最后，我们期望本次编撰的《2024年上半年全国移动应用安全观测报告》1.全国移动互联网应用概况截至2024年上半年，移动应用安全大数据平台收录全国Androi近年来Android应用新增幅度有所减缓，小程序增幅较大。2024年上半年，全排名开发企业更新应用量1北京**科技有限责任公司4172北京**科技发展有限公司3003广州**网络科技有限公司2914厦门**网络科技有限公司2735深圳**咨询有限公司2486蓝润**集团有限公司2437深圳市腾讯**有限公司2308深圳市**科技有限公司2199厦门**科技有限公司219深圳**有限公司204计有1900+个。其中，全国活跃应用（即3个月内有更新的应用）总计107863款。从活跃应用分布的渠道来看，小米应用商店共计发布应用4.2万款，占比办公学习类应用数量占全国活跃应用的8.9%，位居第三。相比前两年，游戏类的开发、运营主体进行归属地划分，下列区域分布仅基于的应用占比呈逐年上升趋势，北京市占比有所下降。以下是全国应用地域分布全国Android应用区域分布情况TOP10影响力，公信力，专业度）等综合因素进行分析，以下是A排名应用名称开发者名称2024年上半年下载量（亿）2023年上半年下载量（亿）1抖音北京微播视界科技有限公司9572拼多多上海寻梦信息技术有限公司9503快手北京快手科技有限公司8197424百度在线网络技术（北京）有限公司6566055微信深圳市腾讯计算机系统有限公司6294856QQ深圳市腾讯计算机系统有限公司5955207WiFi万能钥匙南京尚网网络科技有限公司5945788腾讯视频腾讯科技（北京）有限公司5924799手机淘宝淘宝（中国）软件有限公司556558支付宝蚂蚁金服（杭州）网络技术有限公司5484852.全国移动互联网应用在个人信息保护方面情况概述2024年上半年人工针对App的个人信息安全合规问题进行抽样性检测，根App个人信息安全合规问题2024年上半年移动应用大数据平台针对全国Android应用进行了个人信息Android应用违规类型分布国个人信息保护法》等。这些法规明确要求企业对个人数据应采取相应的加密、使得加密传输个人资料变得更加便捷和高效。下图为存在明文传输的Android2.7.儿童移动智能设备个人信息风险情况3.全国通报应用概况用通报数量占总量的9.4%，位居第三。与同期对比来看全国通报应用主要集中针对全国通报的应用进行个人信息违规类型统计，结果显示，45.3%的应用通报类型2024年上半年2023年上半年趋势违规收集个人信息45.3%42.5%↑App强制、频繁、过度索取权限25.0%23.1%↑未明示收集使用个人信息的目的、方式和范围19.6%17.5%↑违反必要原则，收集与其提供的服务无关的个人信息17.7%16.3%↑App频繁自启动和关联启动10.1%11.3%↓超范围收集个人信息9.9%7.6%↑欺骗误导强迫用户8.4%2.3%↑未经用户同意收集使用个人信息6.5%16.0%↓违规使用个人信息4.6%6.0%↓未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息3.6%3.5%↑近年来总计通报SDK41款，移动应用大数据平台针对通报的SDK进行了个人信息违规类型统计，结果显示，68.3%的SDK存在“SDK使用说明不完整”、“超范围收集个人信息”的情况；61.0%的SDK存在“违规收集个人信息”的情况。具体违规详情如下：SDKSDK的通报问题分析4.全国移动互联网应用漏洞风险概况4.1.各等级风险漏洞情况于过去两年有了4.1%的小幅增长。这个数据表明，尽管我们在技术和安全措施4.2.各风险漏洞类型应用排行情况造成用户隐私泄露或直接的财产损失，应用运营者/开发者应采取安全加固等有漏洞类型2022年上半年2023年上半年2024年上半年趋势Janus漏洞57.90%75.40%70.60%截屏攻击风险53.80%68.60%64.20%未移除有风险的WebView系统隐藏接口漏洞50.80%67.40%63.60%模拟器运行风险49.90%65.40%61.20%Java代码加壳检测50.60%64.10%60.00%日志数据泄露风险49.90%63.10%59.00%全局异常47.80%62.10%58.20%终端ROOT状态检测46.50%61.50%57.60%URL硬编码风险46.00%57.40%53.60%WebViewFile域同源策略绕过漏洞43.10%54.40%50.90%4.3.各功能类型存在高危风险漏洞的应用排行情况紧随其后的是拍摄美化类应用，存在高危漏洞的应用数量占检测总量的88.6%。第三名是系统工具类应用，高与过去两年的数据相比，2024年上半年移动应用存在的高危漏洞比例总体5.政务类移动应用5.1.政务类应用概况类应用分布的渠道来看，vivo(App)、小米应用商店、腾飞网占据应用市场排名应用区域分布Top10居第一；广东省应用数量占总量的9.4%，位居第二；江苏省应用数量占总量的各渠道排行Top10度）等综合因素进行分析，这部分政务类应用累计下载量排名前列的Android应用分别是：交管1212387.7亿+次，个人所得税71.9亿+次，国家反诈中心排名应用名称开发者名称下载量（亿）1交管12123公安部交通管理科学研究所87.72个人所得税国家税务总局税收大数据和风险管理局71.93国家反诈中心中华人民共和国公安部48.54学习强国中央宣传部宣传舆情研究中心45.15铁路12306中国国家铁路集团有限公司22.86智慧中小学教育部教育技术与资源发展中心7福建省经济信息中心6.28皖事通讯飞智元信息科技有限公司6.09浙里办数字浙江技术运营有限公司5.9社会帮扶2.3中国乡村发展志愿服务促进会移动应用下载量排行Top社会帮扶2.35.2.政务类移动应用风险分析爱加密移动应用安全大数据平台利用安全检测引擎，对这部分政务类应用5.3.政务类应用访问域名情况分析5.4.政务类应用申请使用权限情况100.0%的Android应用存在获取此权限；其次是“访问网络信息”，98.4%的敏感权限全量权限权限名称获取该权限应用占比权限名称获取该权限应用占比写入外部存储95.0%访问网络100.0%读取手机状态89.4%访问网络信息98.4%读取外部存储86.3%写入外部存储95.0%使用照相设备84.2%访问Wi-Fi网络信息92.3%访问近似位置83.5%读取手机状态89.4%获取精确位置82.9%读取外部存储86.3%改变WiFi连接状态78.1%使用照相设备84.2%安装应用程序67.8%访问近似位置83.5%获取任务信息63.4%获取精确位置82.9%59.7%访问振动设备80.8%6.流量数据风险情况分析6.1.流量数据盗版/仿冒应用功能类型分布针对上半年监测的流量数据进行盗版/仿冒检测，检测结果统计显示疑似盗从流量数据发现的应用漏洞扫描情况来看，检查结果显示：有高达89.0%占比为28.6%；从访问境外ip来看，相比常规应用商店采集的应用，流量渠道发现的涉黄涉赌应用访问境外ip的比例明显更高，达到了45.6%，可能7.全国移动互联网应用植入恶意程序情况概况从功能类型来看，游戏应用类存在恶意应用的数量占全国恶意应用总量的位居第二；金融理财类存在恶意应用的数量占全国恶意应用总量的7.5%，位居8.境外SDK情况概述情况款，2024年上半年更新的应用中嵌入了境外SDK应用总计44213占比为25.3%、15.2%、9.2%。下图为嵌入境外SDK的应用功能类型及区域分布嵌入境外SDK的应用的能类型及区域分布top10移动应用大数据平台针对嵌入了境外SDK的应用总计4.4万款App进行了个嵌入境外SDK应用个人信息自动化检测违规情况个人信息违规类型分布个人信息违规类型分布由SDK引起的个人信息违规App未见向用户明示SDK收集使用个人信息的目的、方式和范围，未经用户同意，SDK存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。31.4%App向用户明示SDK的收集使用规则，但未见清晰明示SDK收集设备MAC地址、软件安装列表等的目的方式范围，用户同意隐私政策后，SDK存在收集设备MAC地址、软件安装列表的行为。12.0%App向用户明示SDK的收集使用规则，未经用户同意，SDK存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。7.8%App未见向用户明示SDK的收集使用规则，未经用户同意，SDK存在每30s读取一次位置信息，非服务所必需且无合理应用场景，超出实现产品或服务的业务功能所必需的最低频率。7.7%App未向用户明示SDK的收集使用规则，未经用户同意，SDK在静默状态下或在后台运行时，存在按照一定频次收集位置信息、IMEI、通讯录、短信、图片等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。4.9%App未见向用户明示SDK的收集使用规则，未经用户同意，SDK存在收集通讯录、短信、通话记录、相机等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。0.4%App未向用户明示SDK的收集使用规则，未经用户同意，SDK在静默状态下或在后台运行时，存在收集通讯录、短信、通话记录、相机等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。0.3%由SDK引起的个人信息违规类型分布嵌入境外SDK应用中疑似访问境外ip情况由SDK引起的访问境外ip地域分布境外SDK的敏感