为APP开剂「数字处方」！梆梆安全发布《2024年Q1移动应用安全风险报告》

3月22日，中国互联网络信息中心（CNNIC）发布第53次《中国互联网络发展状况统计报告》。报告显示，截至2023年12月，我国网民规模已达10.92亿，其中手机网民10.91亿，占比99.9%。

通讯、消费、购物、旅游、娱乐……APP实现了生活场景全覆盖，基于手机等移动智能设备的移动互联网应用已成为日常生活中不可或缺的关键元素。与此同时，恶意软件日益猖獗，非法收集个人信息、恶意滥用数据等风险问题层出不穷，对个人和企业的数据和财产安全构成严重威胁。

近日，棒棒安全发布了《2024年Q1移动应用安全风险报告》。基于棒棒安全移动应用监管平台2024年Q1监测分析的移动应用安全形势，继续为大家剖析国内移动应用攻击技术及安全。趋势发展，为移动应用安全建设提供帮助和指导。

★

01

★

全国移动应用概览

棒棒安全移动应用监管平台对国内外1000+活跃应用市场的实时监测数据显示，2024年1月1日至2024年3月31日发布的应用中，属于全国的Android应用总数是 179,386。参与开发者总数为54,180人。

从APP分布地区来看，北京APP数量排名第一，约占全国APP总数的21.42%。第二和第三地区分别是广东省和上海市。对应的APP数量为34349个、17140个，具体分布如图1所示。

图1 全国APP区域分布图TOP10

从APP功能和使用类型来看，实用类APP数量排名第一，占全国APP总数的17.75%；教育学习类APP排名第二，占全国APP总数的12.17%；其他APP排名第三，占全国APP总数的9.39%。各类APP占比如图2所示。

图2 全国APP类型分布前10名

★

02

★

国家移动应用安全分析概述

棒棒安全移动应用监管平台通过调用不同类型的自动化检测引擎，对全国范围内的Android应用进行随机抽查。从盗版（假冒）、境外数据传输、高危漏洞、侵犯个人隐私四个维度全面采集风险应用。风险应用进行全面分析。具体数量如图3所示。

图3 风险应用四个维度综合统计

01

漏洞风险分析

我们随机抽取了全国76,551个Android APP进行漏洞测试，发现有61,291个APP存在漏洞，即80.89%的APP存在中高危漏洞。在61921个存在漏洞的应用中，77.48%的应用存在高风险级别漏洞，97.61%的应用存在中风险级别漏洞（同一应用可能存在多个级别漏洞）。

对不同类型漏洞的统计表明，大多数安全漏洞都可以通过应用加固方案来解决。排名前三的应用漏洞分别是JAVA代码反编译风险、HTTPS未验证主机名漏洞、动态注册Receiver风险。

从APP类型来看，其他类型APP漏洞风险最多，占漏洞APP总数的20.01%；其次是实用类APP，占比15.52%；教育学习类APP排名第三，占比9.88%。排名前10位的漏洞类型如图4所示。

图4 漏洞排名前10的APP类型

02

盗版（假冒）风险分析

盗版APP是指未经版权人同意或授权，采用非法手段在原APP中添加恶意代码，然后再次发布，导致用户信息泄露、手机感染病毒等后果的APP。安全隐患。随机抽取全国791款Android APP进行盗版（假冒）引擎分析，共检测出791款盗版（假冒）APP。其中，实用工具类、生活服务类、新闻阅读类APP是山寨类APP的重灾区，各类型占比如图5所示。

图5 盗版（山寨）APP类型前10名

03

海外传输数据分析

2024年3月22日，中央网络安全和信息化委员会办公室正式印发《促进和规范数据出境流动的规定》，同时发布《数据传输安全评估申报指南（第二版）》和《个人信息传输标准合同备案指南（第二版）》指导企业履行数据出境合规义务，充分体现了我国加强跨境数据监管维护国家安全的监管思路。

从全国Android APP中随机抽取10621款Android APP进行海外数据传输引擎分析，发现其中2220款存在IP数据海外传输。从统计数据来看，寄往澳大利亚的数量最多，占70.36%；其次是寄往美国，占25%。数据传输至海外国家的排名如图6所示。无论是移动应用自身程序代码的数据流出行为，还是第三方SDK的数据流出行为，建议监管部门加强监管数据出站行为。

图6 海外数据传输速率前10名

从APP类型来看，其他类型APP向境外IP传输数据最多，占境外传输APP总数的25.54%；其次是实用类APP，占比15.72%；游戏娱乐类APP海外数据传输量占比7.93%，排名第三。各类型所占比例如图7所示。

图7 海外数据传输APP类型占比前10名

04

个人隐私侵犯分析

作为一款只有连接互联网才能正常运行的移动应用，收集网络权限、系统权限、WiFi权限是很正常的事情。然而，移动应用是否应该收集用户短信、电话、位置等“危险权限”，需要根据应用本身的合法业务需求进行分析。依据国家《信息安全技术个人信息安全规范》、《APP非法收集、使用个人信息的认定方法》、《常见类型移动互联网应用所需个人信息范围的规定》等相关规定根据要求，从全国范围内随机抽取了10621个Android应用程序。合规引擎分析发现，62.56%的APP涉及隐私违规，如非法收集个人信息、APP强制、频繁、过度请求权限、APP频繁自动启动及关联启动等，各违规类型占比如下图如图 8 所示。

图8 侵犯个人隐私行为类型占比

从APP类型来看，其他类型APP侵犯个人隐私行为最多，占检测总数的22.4%。 50%以上的其他APP涉及频繁的权限申请；实用类APP存在侵犯隐私行为，占检测总数的22.4%。占总数14.89%，排名第二；教育学习类APP侵犯隐私行为占查出总数的9.3%，排名第三。图9展示了各类应用涉及个人隐私侵犯的比例。

图9 侵犯个人隐私的前10名APP类型

05

第三方SDK风险分析

第三方SDK是由广告平台、数据提供商、社交网络、地图服务提供商等第三方服务公司开发的工具包。 APP开发商和运营商在APP开发设计过程中普遍考虑的是开发成本和运行效率。使用第三方软件开发套件 (SDK) 来简化开发过程。随机抽取全国71165个Android应用进行第三方SDK引擎分析，检测到95.88%的应用内置了第三方SDK。如果SDK存在安全漏洞，包含该SDK的应用程序可能容易受到攻击。

从APP类型来看，其他类型APP内置第三方SDK数量最多，占比19.56%；其次是实用类APP，占比15.63%；教育学习类APP排名第三，占比10.62%，第三方SDK各类应用占比如图10所示。

图10 第三方SDK应用类型排名前10位

06

应用加固现状分析

随着移动APP渗透到人们生活的方方面面，黑灰色产业也随之壮大。如果应用程序不受到保护，就等于“裸奔”。对APP进行安全加固，可以有效防止其被逆向分析、反编译和重复利用。打包、恶意篡改等。随机抽取全国119057款Android应用进行加固引擎测试，仅占总数的35.44%被检测为加固应用。

从应用类型来看，财务理财类APP强化率最高，占财务理财类APP总数的69.93%；其次是党政机关APP，占党政机关APP总数的69.53%；排名第三的是摄影美化类APP，占摄影美化类APP总数的48.02%。加固APP占比排名前10位的应用类型如图11所示。

图11 加固前10名APP类型排名

在信息技术应用创新发展的大趋势下，邦邦安全始终以客户为中心，持续研发投入和产品创新，从技术和服务层面建立全面的移动应用安全和物联网安全防护生态系统。我们打造了包括应用设计开发、应用测试、应用发布、应用运维在内的APP全生命周期安全解决方案，形成了从防护、加固、检测到监管、评估、响应的全栈产品和服务能力，并深入治理APP、小程序、快应用等应用乱象，成为各行业厂商值得信赖的合作伙伴。

数字时代，移动互联网不断渗透，推动数字化、信息化渗透到社会生活发展的方方面面。移动渠道的业务重要性和安全性要求越来越高。在移动应用数量和业务丰富度爆发式增长的当下，邦邦安全以“保护您的软件”为企业使命，致力于应用技术的百家争鸣和应用体验的繁荣，让互联网用户拥有更美好、更安全、更有保障的生活。顺应数字智能生活。