全國移動App第三季度安全研究報告
責編:gltian |2021-10-29 13:34:322021年10月,北京智游網安科技有限公司(愛加密)聯合移動互聯網系統與應用安全國家工程實驗室(以下簡稱:國家工程實驗室)發布了《全國移動App風險監測評估報告》(2021年3季度版)。
本次評估報告包括全國移動App安全概況、全國App功能分布、金融類App分布概況、本季度增量情況、移動App個人信息安全概況、第三季度移動App安全風險監測評估等內容。App風險監測評估報告面向社會公眾免費發布,為行業用戶了解App安全提供了參考,也為個人用戶開啟了一扇了解當下App安全熱點的窗戶。
愛加密和國家工程實驗室后續會加大合作力度,把“全國移動App風險監測評估”作為常態化合作內容,風險監測評估報告每季度發布。
一、全國移動App概況
根據移動互聯網系統與應用安全國家工程實驗室(以下簡稱國家工程實驗室)和愛加密移動應用大數據平臺提供的數據,截止9月底大數據平臺共計收錄Android移動App 347萬款,其中70%以上存在高危漏洞威脅;34.17%的App嵌入工具類的SDK。
(一)應用寶移動App數量占總量的21.40%
截止到本季度納入監測的應用渠道數量總計約900個,其中應用數量排名前三列的分別是:應用寶,共計應用714757款,占渠道總應用數量的20.57%;360市場,共計618611款,占總應用數量的17.80%;豌豆莢,共計533215款,占總應用數量的15.34%。以下是各渠道應用排行前十的情況:
各渠道應用排行TOP10
(二)高危漏洞呈逐漸增長趨勢
本次主要對10類94項風險漏洞進行監測分析,發現70%以上的App存在漏洞風險。約248萬款Android最新版本應用包通過移動應用安全平臺進行風險監測,其中,有高危漏洞的App約183萬款,占監測應用總數的73.78%。截止到本季度排名前三的漏洞分別是:Janus漏洞、截屏攻擊風險、Java代碼加殼檢測。詳見下圖:
存在漏洞的App數量統計圖
(三)第三方SDK應用廣泛,數據安全存在隱患
第三方SDK通常是造成用戶個人信息在網上“裸奔”的罪魁禍首。監測發現截止9月底,共計1774934款App嵌入工具類的SDK,占比34.17%;494746款App嵌入推送類的SDK,占比9.52%;447107款App嵌入框架類的SDK,占比8.61%,詳見下圖:
不同類型SDK對應的App分布情況
(四)各省份移動App加固情況
從加固App區域分布來看,北京、廣東發達地區App加固量排名靠前,加固占比最多。
加固App省份Top10
經統計,安全加固排名前三列的分別是:北京市占總量的25.12%,共計應用79448款;廣東省市占總量的24.90%,共計應用78778款;湖北省占總量的7.43%,共計應用23506款,以下是前十占比情況:
加固App數量省份占比前十分布
北京以25.12%的市場份額成為匯聚加固App數量最多的省份,而西藏、澳門等省份加固App數量較少。詳情如下:
加固App數量較少的省份分布情況
二、全國App功能分布
(一)游戲App穩居市場總應用的首位
從全國移動App功能應用細分領域來看,游戲類App的數量占據首位,占市場應用的43.9%,約98萬款;生活實用類的App占市場應用的12.0%,約27萬款;系統工具類的App占市場應用的7.0%,約16萬款。不同細分領域App占比如下所示:
不同細分領域AppTop10數量及占比
(二)其他功能App分布情況
排名第4到第10的行業分別是辦公學習、資訊閱讀、金融理財、拍攝美化,總和未超過50%。其中:辦公學習類App約14萬款,占比6.4%;資訊閱讀類App約13萬款,占比5.6%;金融理財類App約9萬款,占比4.2%。詳情見下圖:
其他功能Apps數量分布
三、金融類App分布概況
(一) 超三成App分布在華東地區
金融類App遍布全國各地,有94724款可以根據區域劃分規則明確歸屬地,以下區域分布僅基于這94724款做分析。從大區來看,華東地區App數量位居第一,占App總量的36.02%;其次是華南地區,占總量的26.21%;華北地區位列第三,占總量的16.74%。詳見下圖:
App大區分布圖
(二) 廣東省金融類App數量居全國第一
從省級區域來看,廣東省金融類App數量占全國總量的24.45%,位居第一;北京市金融類App數量占全國總量的14.15%,位居第二;上海市占全國總量的10.52%,穩居第三。以下是排名TOP10的情況:
應用數量占比TOP10
四、本季度增量情況
(一) Android應用數量8月份環比倍數增長
本季度新增Android應用數量共計89436款,從月度上看,本季度Android應用數量增速8月份環比增長最快,環比增加25.85%,但7月新增應用共計23548款,環比下降27.57%。詳見圖8:
月度環比增速圖
1.本季度教育類App增量最多
從應用行業上看,教育類仍是新增移動App的主要類別,占新增應用34.4%;金融類新增數量位列第二,占新增應用31.2%;政企類新增數量位列第三,占新增應用的18.6%;詳見下圖:
新增移動App行業Top10分布圖
(二) 應用監測渠道增量情況
1.應用監測渠道7月增長較快
本季度應用監測新增渠道趨勢較為平緩,新增應用渠道共計44個,7月份新增28個渠道,8月份新增8個渠道。詳見下圖:
新增渠道情況
2.新增渠道中,服務器在廣東、湖北、上海的最多
從新增渠道分布區域上看,服務器在香港的渠道增量最多,占新增渠道13.64%。詳見下圖:
新增渠道所屬區域
五、移動App個人信息安全概況
(一)個人信息檢測違規分布情況
第三季度,針對全國移動App進行了個人信息合規性抽樣檢測,其中,56.87%的應用存在“違規收集個人信息”的違規情況;55.60%的應用存在“超范圍收集個人信息”的違規情況;19.16%的應用存在“App強制、頻繁、過度索取權限”的違規情況。綜合上述,建議監管機構督促企業加強個人信息相關的法律法規宣傳,加強對App的開發企業、運營企業的通報處罰力度。作為責任主體,相關企業應做到遵紀守法,按照相關政策標準的要求自查自糾;用戶應提高隱私保護意識,提防“流氓”App,注重個人的隱私。個人信息違規類型詳見下圖:
個人信息違規類型分布
(二)個人信息檢測違規移動App功能類型分布
從功能類型分類來看,存在個人信息違規性問題的應用辦公學習類占違規總量的21.98%,位居第一;其次是生活實用類占違規總量的20.39%,位居第二;網上購物類占違規總量的8.90%,位居第三。辦公學習類的App受眾面廣,且應用數量較多。詳見下圖:
個人信息檢測違規App功能類型分布
(三)移動App個人信息安全案例分析
1.越權設置密碼
(1)將client_id替換為注冊的另一個賬號的client_id(此參數可通過遍歷獲取所有用戶的id)
(2)退出當前賬號,登錄剛才越權修改client_id對應的另一個賬號,可以看到昵稱已經被成功越權修改為具有一定誘導性的內容。
同時,昵稱長度限制為客戶端本地驗證,可通過抓包修改繞過此限制:
結果分析:該APP僅通過參數client_id來進行身份識別,因此通過遍歷,修改此client_id參數,即可越權修改對應的用戶的相關信息。
2.數據明文傳輸
對App請求與相應數據包進行抓取分析后發現,某App交互數據包均未進行加密處理,且返回數據內可見明文電話號碼、token等信息。
結果分析:App應對涉及個人敏感信息、重要數據等的數據包加密處理,并對關鍵加密算法所在的so庫進行加殼、混淆等防護,保護App數據傳輸及加解密機制安全。
六、第三季度移動App安全風險監測評估
(一)“人臉識別”是一種趨勢,亦是一種潛在風險
隨著科技的發展,App的功能也越發強大,開發者在開發App 時,希望應用能夠快速的打開并且運行。從一開始的輸入密碼解鎖到指紋解鎖,再到最后的人臉識別解鎖功能;App功能在強大的同時,伴隨的風險也在加深。“人臉識別”是技術通過相機功能針對用戶采集并且收集人臉,儲存在后端。而這也給了許多不法分子可乘之機,他們利用人臉識別技術漏洞謀利:通過人臉在線刷臉技巧,騙過部分手機App的活體認證環節,實名認證后竊取用戶的個人信息并進行販賣、網貸等不法手段。
App被授予人臉識別技術,也不乏有惡意App收集相關人臉信息,進行灰色產業的交易,而我們在使用此技術帶來的便利同時,也要保持謹慎的心態,使用從官網、認證并且知名的渠道下載的應用。
(二)網絡安全離不開安全技術和產業的支撐
沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障。當前,各種形式的網絡攻擊、黑客入侵、惡意代碼、安全漏洞層出不窮,對關鍵信息基礎設施安全、數據安全、個人信息安全構成嚴重威脅。網絡安全的本質是技術對抗,保障網絡安全離不開網絡安全技術和產業的有力支撐。
移動互聯網系統與應用安全國家工程實驗室
北京智游網安科技有限公司
2021年10月23日
轉載自安全客:https://www.anquanke.com/post/id/257186