《2023年全国移动应用安全观测报告_市场营销策划_2024年市场报告-3月第4周_【2024研报】重.docx》由会员分享,可在线阅读,更多相关《2023年全国移动应用安全观测报告_市场营销策划_2024年市场报告-3月第4周_【2024研报】重.docx(42页珍藏版)》请在课桌文档上搜索。
1、2023年全国移动应用安全观测报告1原曾飒舜极分艮公司中国电信股份郁艮前言41 .全国移动互联网应用概况61.1. 全国移动互联网应用总量综合情况61.2. 全国移动应用分发渠道分布71.3. 全国活跃移动互联网应用功能类型分布情况81.4. 全国移动互联网应用地域分布情况91.5. 全国移动互联网应用下载量情况112 .境外SDK情况概述情况121. 1.境外SDK及嵌入境外SDK应用情况分析122. 2.嵌入境外SDK应用个人信息自动化检测违规情况133. 3.嵌入境外SDK应用个人信息违规类型分析144. 4.嵌入境外SDK应用中疑似访问境外ip情况分析155. 5.境外SDK的敏感行为
2、分析163,全国移动互联网应用在个人信息保护方面情况概述173.1.个人信息人工深度检测违规情况173.2.个人信息自动化检测违规情况183.3.应用申请使用权限情况191. 4.数据跨境传输目的地分布情况203. 5.数据明文传输类型情况214. 6.应用敏感行为情况224,全国通报应用概况234.1. 通报应用总量综合情况234. 2.通报应用区域分布情况244. 3.通报应用功能类型分布情况244. 4.通报应用版本仍有效渠道分布情况255. 5.通报个人信息问题类型分布情况265.全国移动互联网应用漏洞风险概况275.1. 各等级风险漏洞情况275. 2.各风险漏洞类型应用排行情况28
3、6. 3.各功能类型存在高危风险漏洞的应用排行情况296 .全国移动互联网应用植入恶意程序情况概况306. 1.主要恶意程序风险描述307. 2.恶意应用功能类型分布情况307 .移动互联网应用盗版/仿冒情况分析311. 1.盗版/仿冒应用功能类型分布情况317. 2.盗版/仿冒应用分发渠道分布情况327. 3.2023年热点应用-ChatGPT分发渠道分布情况338. 4.2023年热点应用-VPN区域分布情况348 .移动互联网应用技术安全保护措施351. 1.未采取技术安全保护措施的应用占比情况358. 2.未采取技术安全保护措施的应用功能类型分布情况369 .未成年人网络保护条例361
4、. 1.我国未成年人网络保护背景及特点369. 2.未成年人使用移动应用风险分析379. 3.未成年人使用移动应用的建议3910 .个人信息安全保护措施391. .1.移动应用个人隐私安全调研分析3910. 2.移动应用的数据安全防护的重要性4111 .公司介绍42刖百疫情后时代,经济增速的放缓,互联网和移动应用(App)已成为我们生活不可或缺的部分。全球性的发展危机迫使社会各层面迅速适应新常态,人们越来越多地转向线上活动,随着智能手机和平板电脑等移动设备用户数量的剧增,移动应用的数量和种类亦在不断膨胀,加速了数字化转型的步伐。然而,伴随着这一增长的是移动应用安全形势的日益严峻。我们见证了恶意
5、软件的猖獗、数据泄露事件的频发以及隐私侵犯问题的严重性,这些不仅威胁到广大个人用户的信息安全,也会对企业的数据资产构成潜在的风险。与此同时,各级政府和监管机构对移动应用的法规也在不断更新和完善,以应对快速变化的网络环境和保障用户权益。例如,对于数据的收集、处理和跨境传输有了更为严格的要求;用户隐私保护法律得到加强;对于应用内支付安全、未成年人在线保护等方面也有了新的指导方针。这些变化无疑为移动应用的开发、分发及运营带来了新的挑战和机遇。为了深入剖析这一复杂且多变的安全环境,并为所有环节相关者(无论是监管机构、企业、开发者还是普通用户)提供参考价值,爱加密公司和中国电信研究院依托其专业的技术团队
6、,利用我们在大数据分析和移动安全领域的专业知识,精心编撰了2023年全国移动应用安全观测报告。本报告基于对过去一年全国移动应用安全事件的监测与分析,旨在描绘出移动应用安全的全貌,揭示安全隐患,并对未来的发展趋势进行预测。报告内容涵盖了移动应用渠道分析、全国通报概况、跨境传输分析、应用漏洞风险分析、技术保护措施、政策法规环境等多个维度,力求从多角度全面反映移动应用安全领域的真实情况。并对特定行业和用户群体的安全问题给予了特别关注。需要强调的是,随着移动技术和相关产业的持续进步,移动应用(尤其是小程序)安全的形势也在不断演变。因此,本报告中的观点和结论仅代表当前的研究和分析成果,我们将保持对移动应
7、用安全动态的持续追踪,并期待未来能够提供更加全面和深入的视角。最后,我们期望本次编撰的2023年全国移动应用安全观测报告能为广大读者提供实际价值。对于普通用户,我们希望通过这份报告提高他们的安全意识,帮助他们在享受移动应用带来的便利的同时,有效保护自己的信息安全。对于企业和监管机构,我们希望通过这份报告提供的深入分析和建议,可以帮助大家能够更加了解充满挑战的移动应用领域。爱加密公司和中国电信研究院愿与读者们携手,共同致力于构建一个更安全、更可信的移动应用生态系统。1 .全国移动互联网应用概况1.1. 全国移动互联网应用总量综合情况截至2023年,移动应用安全大数据平台收录全国Android应用
8、共计453万款,iOS应用共计295万款,微信公众号621万个,微信小程序360万个。2023年年度,全国总计新更新新上架的应用共计27万款,如图显示各类资产每年度都呈逐步增幅的情况。四个季度的新更新新上架应用量分别如下:近三年全国总量综合情况2023年全国四季度的新更新、新上架应用情况2023年更新的Android应用中,有46.59%的应用有明确的开发、运营主体,其余的是个人开发者或者没有实名登记开运营信息。从企业更新应用量来看(仅以应用上架发布的开发运营主体统计,未以有股权关系的关联公司角度统计),广州*网络科技有限公司更新的应用产量位居第一;其次是北京*互联科技有限公司;北京*科技发展
9、有限公司位列第三。排名开发企业更新应用量1广州*网络科技有限公司8082北京*互联科技有限公司7933北京*科技发展有限公司6744深圳*互娱网络有限公司5455北京*科技有限责任公司4786厦门*网络科技有限公司4217广州*互联网信息服务有限公司4138南京*网络科技有限公司3679北京*科技发展有限公司35810深信息技术有限公司353全国开发者发布应用数量TOPlO1.2. 全国移动应用分发渠道分布截至2023年,移动应用安全大数据平台纳入监测的应用渠道数量总计有1900+个。其中,Android应用市场(即AnCIrOid网页分发渠道)渠道数量最多,占总渠道数量的72.54%;And
10、roid游戏市场,占总渠道数量的29.51%;贴吧论坛等其它渠道,占总渠道数量的0.44%。全国活跃应用(即3个月内有更新的应用)总计70424款。从活跃应用分布的渠道来看,ViVo(APP)共计发布应用3.2万款,占比45.50初小米应用商店共计发布应用2.7万款,占比39.00%;oppo(App),共计发布应用2.4万款,占比34.53%o移动端应用市场是更新发布应用的主要渠道:活跃应用在各渠道应用量排行ToPlO1.3.全国活跃移动互联网应用功能类型分布情况截至到2023年12月310,全国活跃应用总计7万款。从功能类型来看,游戏类应用活跃度较高,占全国活跃应用总量的27%,位居第一,
11、近三年对比,游戏应用呈远低于以往两年;生活实用类应用数量占全国活跃应用的16%,位居第二;办公学习类应用数量占全国活跃应用的12%,位居第三。游戏应用生活实用办公学习影音播放系统工具,4.,.一/%,2%5%资讯阅读社交通讯拍摄美化网上购物金融理财小卬3%1%2% 2023年 2022年 2021年全国活跃应用功能分类情况1.4. 全国移动互联网应用地域分布情况截止2023年12月底,全国453万款AndrOid应用中有94万款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这94万款做分析。从区域来看,广东省应用产量位居第一,占全国应用总量的28%;其次是北京市,占总量的17%
12、;上海市位列第三,占总量的9%o以下是全国应用地域分布T0P10:广东省北京市上海市浙江省江苏省福建省四川省山东省湖南省湖北省全国Android应用区域分布情况ToPlO全国共有295万款iOS应用,有11万款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这11万款做分析。从区域来看,北京市应用数量位居第一,占全国应用总量的20.35%;其次是广东省,占总量的19.71%;上海市位列第三,占总量的12.06%。全国iOS区域分布情况TOPlO全国共有621万款微信公众号,有75万款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这75万款做分析。从区域来看,广东省
13、应用数量位居第一,占全国应用总量的16.39%;其次是北京市,占总量的&72初浙江省位列第三,占总量的7.42%o全国微信公众号区域分布情况TOPlO全国共有360万款微信小程序,有213万款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这213万款做分析。从区域来看,广东省应用数量位居第一,占全国应用总量的16.52初其次是山东省,占总量的7.01初江苏省位列第三,占总量的6.76吼全国微信小程序区域分布情况TOPlO1.5. 全国移动互联网应用下载量情况截至2023年,结合各渠道的下载量统计,考虑渠道的权重(渠道的影响力,公信力,专业度)等综合因素进行分析,以下是Andro
14、id下载量TOPlO排行情况:排名图标应用名称开发者名称2023年下载量(亿)2022年下载量(亿)1I拼多多上海寻梦信息技术有限公司102076527卜抖音北京微播视界科技有限公司9578073囹快手北京快手科技有限公司7425434百度百度在线网络技术(北京)有限公司6054765WiFi万能钥匙南京尚网网络科技有限公司5784346隰手机淘宝淘宝(中国)软件有限公司55847378QQ深圳市腌讯计算机系统有限公司5204898头条北京字节跳动科技有限公司5104459且支付宝蚂蚁金服(杭州)网络技术有限公司48541310美团美团北京三快在线科技有限公司385297全国Android下载
15、量排行ToPlO2.境外SDK情况概述情况2.1. 境外SDK及嵌入境外SDK应用情况分析根据移动应用大数据平台提供的数据,截至到当前,共计收录境外SDK4244款,其中框架类SDK占比较高,达到68.45%。下图为境外SDK的详细类型占比:峻IHHll川川H川川I川川Ilm川川川川川川川川川I川川川HUI68.45%安全风控Iiiiiiiiiiii7.22%广告Iiiiiiiiiii6.23%支付MMH5.93%推送Iiiiiiii4.95%地图2.97%Illl2.27%统计I1.38%测试0.40%第三方登录0.10%境外SDK类型分布top10嵌入了境外SDK应用总计53655款。从这
16、部分应用的功能类型来看,生活实用类、游戏类及办公学习类应用居多,占比分别为14.98%、13.56%、12.33%。从应用分布区域来看,北京市、广东省以及四川省居多,占比为19.37%、16.53%、10.15%o下图为嵌入境外SDK的应用功能类型及区域分布ToplO:111BiBBBBiBH1InIIH括用械佣公习上物统具音放校讯讯族时行融密勤旃闻办学网潮系工影播出通知曲旗出金Iiiiiiiiiiiiiiiiiiiuii%Iiiiiiiiiiiiiiiniiii1%6Iiiiiiiiiiiiiiiiii1%3Ilill5.66%III5.11%15.09%3.97%3.43%市省四川省湖北I
17、iiiiiiiiiiiiiiiiiiiiiiiii16.53%8.24%19.37%上每市腼省湖南省江苏省省陕西省Iiiiiiiiii3%Iiiiiiii5阳5.00%4.60%3.79%3.34%嵌入境外SDK的应用的能类型及区域分布topl02.2. 2.嵌入境外SDK应用个人信息自动化检测违规情况移动应用大数据平台针对嵌入了境外SDK的应用总计5.3万款APP进行了个人信息合规性检测,其中55.21%存在个人信息自动化检测违规情况。这部分存在违规情况的应用中,由SDK引起的违规情况占比为24.09%o55.21%存在个人信息自动化检测违规情况由SDK引起的个人信息自动化检测违规嵌入境外S
18、DK应用个人信息自动化检测违规情况2.3. 嵌入境外SDK应用个人信息违规类型分析从个人信息自动化检测结果来进行分析,存在“App频繁自启动和关联启动”的占比36.46%;存在“超范围收集个人信息”的占比22.80%;存在“违规收集个人信息”的占比为13.95%。详情如下:APP频翻.关皿咖咖川删36.%触围降个人信息IiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiT飒集个人信息,违规使用个人信息9.79%个人信息违规类型分布由SDK引起的违规情况中,存在“App未见向用户告知且未经用户同意,存在将IMEI/设备MAC地址/软件安装列表等个人信息发送给友盟/极光/个推等第三
19、方SDK的行为。”的占比9.79%;存在“App未向用户明示SDK的收集使用规则,未经用户同意,SDK在静默状态下或在后台运行时,存在收集通讯录、短信、通话记录、相机等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。”的占比8.67%o由SDK引起的个人信息违规占送检应用比例App未见向用户告知且未经用户同意,存在将IMEI/设备MAC地址/软件安装列表等个人信息发送给友盟/极光/个推等第三方SDK的行为。9.79%App未向用户明示SDK的收集使用规则,未经用户同意,SDK在静默状态下或在后台运行时,存在收集通讯录、短信、通话记录、相机等信
20、息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。8.67%App未见向用户明示SDK的收集使用规则,未经用户同意,SDK存在每30s读取一次位置信息,非服务所必需且无合理应用场景,超出实现产品或服务的业务功能所必需的最低频率。7.51%App未向用户明示SDK的收集使用规则,未经用户同意,SDK在静默状态下或在后台运行时,存在按照一定频次收集位置信息、IMEI、通讯录、短信、图片等信息的行为,非服务所必需且无合理应用场景,超出与收集个人信息时所声称的目的具有直接或合理关联的范围。5.66%App向用户明示SDK的收集使用规则,但未见清晰明示SD
21、K收集设备MC地址、软件安装列表等的目的方式范围,用户同意隐私政策后,SDK存在收集设备MAC地址、软件安装列表的行为。0.03%App向用户明示SDK的收集使用规则,未经用户同意,SDK存在收集IME1、设备MAC地址和软件安装列表、通讯录和短信的行为。0.02%由SDK引起的个人信息违规类型分布2.4.嵌入境外SDK应用中疑似访问境外ip情况分析针对全国嵌入境外SDK应用进行了个人信息合规性检测,发现疑似存在访问境外ip的移动应用占比47.84%o其中,由SDK引起的境外ip访问应用的占比为21.77%嵌入境外SDK应用中疑1以访问境外ip应用由SDK引起的访问境外ip应用嵌入境外SDK应
22、用中疑似访问境外ip情况其中,由SDK引起的境外ip访问应用占比21.77%o数据流向多个国家和地区。排名第一的目的地是美国,占比65.86%;排名第二的是日本,占比27.95%;排名第三的是新加坡,占比23.10%。美国Illlllllllllllllllllllllllllllllllllllllllllllllllllllliniuilllllimilffllllllllllllllin65.86%日本Illlllllllllllllllllllllllllllllllllllliniill;I!27.95%新加坡Iiiiiiiiiiiiiiiiiiiiiiiiiiiihiiiiiiih
23、iuiii3.10%德国Iiiiiiiiiiiiiiii8.34%香港Iiiiiiiiiiiii6.65%俄罗斯mill5.27%法国Illlllil3.85%韩国IIIINI3.54%爱尔兰2.25%荷兰Illl2.01%由SDK引起的访问境外ip地域分布2 .5.境外SDK的敏感行为分析移动应用大数据平台通过对部分境外SDK触发的敏感行为分析,共发现27款应用嵌入的境外SDK存在敏感行为。具体来看,“打开摄像头”这一行为占比最高,为58.33%;排名第二的是“调用系统相机”,占比29.63%;排名第三的是“获取电话号码”,占比为ll.ll%o打MIiiiiiiiiiiiiiiiiiiiii
24、iiiiiiiiiiiiiiiiiiiiiiiiiiiiii卜%调用系统aIiiiiiiiiiiiiiiiiiiiiiiiiiii三3%获取电话号码r11.11%查询短信|3.70%境外SDK的敏感行为3 .全国移动互联网应用在个人信息保护方面情况概述3.1. 个人信息人工深度检测违规情况2023年人工针对App的个人信息安全合规问题进行抽样性检测,根据App违法违规收集使用个人信息行为认定方法(国信办秘字(2019)191号)(以下简称191号文),发现存在“未经用户同意收集使用个人信息”问题的应用数量最多,占检测总量的52.45%,较之去年下降14.44%。详见下图:未经用户同意收集使用个
25、人信息未明示收集使用个人信息的目的、方式和范围未经同意向他人提供个人信息违反必要原则,收集与其提供的服务无关的个人信息未公开收集使用规则未按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息52.45%IlllllllNliniuillllllimuMlllllllllllllllllllllliuilIIIIIim66.89%IlNlimillllllllllllllllllllllllllllllllllllllllllllllIIIIII47.44%MlHnNllllllllllinilllllllllllllllllllllllllllllllllllllllllllIII
26、III53.32%IiuiiuilllinillllHlllllllllllllHllllllllIIIIII37.74%Hnillllllllllllllllllllllllllllllllllllllllllllllll39.17%28.46%TiMir!i:14.73%14.61%Iiiiiiiiiiiiiiiiiiiiuiiiuiiiiiiiiiiiiiiiii32.53%5.33%2023年2022年App个人信息安全合规问题3.2. 个人信息自动化检测违规情况2023年移动应用大数据平台针对全国Android应用进行了个人信息合规性抽样检测,总计送检15万+款应用。其中,存在“Ap
27、p频繁自启动和关联启动”的占比21.98%,该检测项监控的范围由原先的16个广播,增加到了211个广播,监控的范围更广,检测出的自启动行为更多,远超于同期检测结果;存在“超范围收集个人信息”的占比19.30%;存在“违规收集个人信息”的占比为12.14%,同期对比持下降状态。开发企业、运营企业作为责任主体应提高认识,严格自律,而广大用户则需要增强隐私保护意识,不轻易安装来源不明的移动应用。频繁自户动和Iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii21.98%关场mNtt1132%超范围收集个人信息Iiiiiiiiiiiiiiiiiiii
28、iiiiiiiiiiiiiiiiiiiiiiiiiii9.30%IllllllllllllllllllllllllllllllliuillllllllllinilUl22.96%Iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiimiiiiuiihiiiiiiiiiiiiiiiiiiiiiiiiih39.40%12.14%违规收集个人信息Iiiiiiiiiiiiiiiiiiiuiiiiiinfliiiiuiiuiiiiniiiiiii22.96%2023年IllllllllllllHlllffliuillllHniimiHlllllllllllllllllllllin39.40%二2
29、022年Iiiiiiiiiiu5.07%.”工违规使用个人信息Il0.78%2021年Illll2.19%APP强制、频繁、过度索取权限Ill1.26%WIMl3.60%Il,r11.58%Android应用违规类型分布3.3. 应用申请使用权限情况从AndrOid应用申请的权限进行分析,其中申请写入外部存储的应用最多,占检测应用总量的96.37%;其次是申请读取外部存储权限的应用,占应用总量的95.49%;排名第三的是申请读取手机状态的应用,占应用总量的86.54%o大部分应用都需要进行向手机存储一定的数据或文件,也会从手机获取文件及向手机写入文件的权限,但很多应用会借缓存图片之名请求外部存
30、储权限,实际上应用都有自己的单独存储空间,要外部权限就是想获取你的各种文件,比如相册等,只要不影响使用,就不要同意。如果影响使用了再结合实际情况考虑,不要将敏感信息(证件照等)存储在相册等开放区域。下图为各类型权限的详细信息:写入外部存储读取夕陪B存储读取手机状态访问近似位置获取精确位置使用照相设备捌丁电话读取通讯录IlllllliuillllllllllllllllllllllllllllllllllllliuwiMliwillllllIMniim96.37%IlllllliuilllllllllllllllllllllllllllllllllllHmilIWIfnNUIim95.49%Il
31、llllllllllllllllllllllllllllllllillMiuilllllllllllllinilllIIIIIin86.54%Illllllllllllllllllllllllllllllinilliniuflniuillllllll54.67%IkTl52.89%4534%illlllllllllnUHIHIUnIIUm33.70%illli,n1.17.14%11.17%读取短信内容6.74%Android应用申请权限ToPlo3.4. 数据跨境传输目的地分布情况对送检的15万+款Android应用的数据传输行为分析,发现涉嫌存在“将数据传输至境外服务器”的移动应用占比13
32、.53%。数据流向多个国家和地区。排名第一的目的地是美国,占比47.42%,连续三年位居第一;排名第二的是中国香港,占比36.73%;排名第三的是新加坡,占比23.27%。Android应用数据跨境传输目的地ToPlo80.0%72.7%结合相关移动应用的功能分类来看,涉及数据跨境传输的移动应用中,游戏类应用占该类型检测总量的47.57队排名第一;影音播放类应用占该类型检测总量的21.91%,排名第二;生活实用类应用占该类型检测总量的7.04%,排名第三。IlllllllllllllNuilliunilllNuilimilllllllllllllllllllllllllllllllllllll
33、lllllIIIIiu47.57%影音播放21.91%生活实用Iiiiiiiiiiiiihi7.04%系统工具IUIMHHIH6.18%资讯阅读Iinillll3.76%办公学习Uim3.30%社交通讯IIIIIII2.79%网上购物IIIIIII2.57%金融理财Illll1.80%拍摄美化Illl1.28%涉及数据跨境传输Android应用的功能分类TOPlO3. 5.数据明文传输类型情况据个人信息合规性检测结果显示,有31118款AndrOid应用存在“明文传输”的违规情况。从传输个人信息类型进行分析来看:存在“明文传输”的违规应用中传输“个人常用设备信息”的应用占比最高,达到了67.0
34、%;其次是传输“个人基本资料”的应用,占比为26.6%;排名第三是传输“网络身份标识信息”的应用,占比为21.8%o用户的个人信息在信息传输过程中造成个人信息泄漏,建议有关机构督促开发者针对“传输”做到加密处理。下图为存在明文传输的67.0%591%Android应用传输个人信息类型80.0%70.0%60.0%50.0%40.0%30.0%20.0%10.0%0.0%3.6. 应用敏感行为情况移动应用大数据平台通过对部分境外SDK触发的敏感行为分析,共发现54418款应用嵌入的境外SDK存在敏感行为。具体来看,“监听通话状态”这一行为占比最高,为48.2%;排名第二的是“监听定位”,占比40
35、.7%;排名第三的是“获取电话号码”,占比为23.9%。监听通话状态48.2%监听定位40.7%获取电话号码.23.9%打开摄像头Ill1.2%0.8%停止录三0.5%开始录音0.5%查询短信0.2%调用系统相册0.2%Android应用敏感行为类型4.全国通报应用概况4.1.通报应用总量综合情况2023年全国总计通报1890款,其中,通报AndrOid应用1702款,占全国通报应用的90.05%;通报小程序92款,占全国通报应用的4.87%;通报iOS54款,占全国通报应用的2.86%o个人信息违规通报资产分布2023年全国总计通报的应用1702款,其中,各地通管局通报应用1323款,占全国
36、通报应用的77.73%;工信部通报224款,占全国通报应用的13.16机各地网信办通报122款,占全国通报应用的7.17%o个人信息违规通报机构分布4.2.通报应用区域分布情况根据通报应用所属区域来看,通报广东省应用数量占总量的19.57%,位居第一;通报北京市应用数量占总量的11.05%,位居第二;通报四川省应用数量占总量的9.52%,位居第三。下图为全国通报应用区域分布情况:广东省aawMiaaMBaaaiia19.57%晾市Illlllllllllllllllllllllllllllllllllllllllilllllllllllllll11.05%四川省9.52%浙江省,T!il1.r
37、.ll7.87%内蒙古自治区5.99%重庆市Ilh1.1.li1.lllIIIIII5.11%安徽省Iiiiniiiiiiiiiiiiiiiiii4.58%上海市4.58%海南省,IllNHl3.00%甘肃省Iiiiiiiiiiii2.23%通报应用区域分布TOPlO4.3.通报应用功能类型分布情况根据通报应用所属功能分类来看,生活实用类应用通报数量占总量的21.09%,位居第一;办公学习类应用通报数量占总量的17.27乐位居第二;网上购物类应用通报数量占总量的7.46%,位居第三。这显示出全国通报应用主要集中在日常生活的娱乐、生活和学习方面。下图为全国通报应用功能类型分布情况:2022年20
38、23年通报应用功能分类分布TOPlO4. 4.通报应用版本仍有效渠道分布情况从通报应用的通报版本来看,通过跟踪通报的1702款移动应用相关版本的有效下载渠道,发现截至当前,仍有578款应用的通报版本在部分渠道可以下载。其中乐商店、2265安卓网、旋风下载站占据前三甲。详情如下:乐商店Illlllllllllllllllllllllllllllllllllllllllllllllllllllllinillllllllliuillllimuiinilliuin934%2265安卓网7.44%旋风下载站Illllllllllllllllllllllllllllllllllllllllllllllll
39、limiIIIinNIMIM7.27%腾飞网IllllllllllllllllllllllllllllllllllllllllllimnNuiDniiuiIIIH6.92%绿色资源网IlllllllllllllllllllllllllllllllllllliniiniMnwiINIIIM6.75%新云下载IlllllllllllllillllllllllllllDinuffllMllinilimillRlllIIIIIIH6.23%oppo(app)Illllllin.Illl.Il!lllll11li.l.l6.06%爱东东手游lI5.88%2113下载加川HlIIwh川川川M1.MI用!I
40、iHzuuuniliuiIIIIH5.54%kk下载1.I5.54%各渠道排行TOPlO4. 5.通报个人信息问题类型分布情况针对全国通报的应用进行个人信息违规类型统计,结果显示,47.06%的应用存在“违规收集个人信息”的情况;29.91%的应用存在“App强制、频繁、过度、索取权限”的情况;13.51%的应用存在“App频繁自启动和关联启动”的情况。同期对比来看,总体比去年呈上升趋势,监管机构对于移动应用在个人信息问题方面越发严格,监管的力度也在逐步加强;具0;违规详情如下:通报类型2023年2022年趋势违规收集个人信息47.06%36.97%tApp强制、频繁、过度索取权限29.91%
41、26.58%IApp频繁自启动和关联后动13.51%2.61%I超范围收集个人信息8.93%5.11%违规使用个人信息7.76%5.49%I未公开收集使用规则6.87%3.14%未明示收集使用个人信息的目的、方式和范围5.23%5.49%强制用户使用定向推送功能4.47%10.97%违反必要原则,收集与其提供的服务无关的个人信息4.00%7.30%欺骗误导强迫用户3.11%1.28%T个人信息违规类型分布TOPlO近年来总计通报SDK56款,移动应用大数据平台针对通报的SDK进行了个人信息违规类型统计,结果显示,68.29%的SDK存在“超范围收集个人信息”的情况;34.15%的SDK存在“收
42、集个人信息明示、告知不到位”的情况。具体违规详情如下:超范围收集个人信息68.29%收集个人信息明示、告知不至立34.15%违规收集个人信息21.95%SDK公示言息不会IIinilllllllllllllllll17.07%欺骗误导强迫用户11llllllllllllllllll14.63%违规利用个人信息开展自动化决策14.63%强迫收集非必要个人信息明UM9.76%违规传输个人信息Iiiiiiii7.32%违规使用第三方服务732%SDK的通报问题分析5.全国移动互联网应用漏洞风险概况5.1. 各等级风险漏洞情况移动应用大数据平台安全利用安全检测引擎对有更新的应用,进行140项漏洞扫描。
43、检查结果显示:有高达76.89%的应用被识别为高危应用。这个比例相比于过去两年有了2.02%的小幅增长。这个数据表明,尽管我们在技术和安全措施上有所进步,但是高危漏洞在移动互联网应用中的存在仍然是一个严重的问题,因为它意味着我们的个人信息、财务信息和其他重要数据可能会因为这些漏洞而受到威胁。77.39%78.16%Android应用不同风险等级漏洞的应用占比5. 2.各风险漏洞类型应用排行情况截至2023年12月31日,全国351万款AndrOid应用通过移动应用安全平台进行风险检测,其中,有高危漏洞的应用约239万款,占应用总数的76.89%o本年度排名前三的漏洞分别是:aJanus漏洞”、
44、“截屏攻击风险”、“未移除有风险的WebView系统隐藏接口漏洞”。存在漏洞较多的移动应用更加容易受到攻击,造成用户隐私泄露或直接的财产损失,应用运营者/开发者应采取安全加固等有效措施,防范和应对网络攻击,保障系统安全平稳运行。详见1:图:漏洞类型2023年2022年2021年趋势Janus漏洞70.59%75.41%57.94%截屏攻击风险64.17%68.56%53.82%未移除有风险的WebVieW系统隐藏接口漏洞63.58%67.38%50.76%模拟器运行风险61.24%65.35%49.91%Java代码加壳检测60.01%64.11%50.64%日志数据泄露风险58.99%63.
45、07%49.90%A全局异常58.20%62.13%47.82%终端ROOT状态检测57.60%61.45%46.46%UR1.硬编码风险53.63%57.40%46.04%WebViewFile域同源策略绕过漏洞50.87%54.37%43.10%Android应用漏洞类型排行5. 3.各功能类型存在高危风险漏洞的应用排行情况在对移动应用进行安全性检测时,我们发现某些类型的应用存在高危漏洞的风险特别高。具体来看,主题壁纸类应用在这方面的问题尤为突出,其存在高危漏洞的应用数量占到了我们检测总量的92.0%,这一比例在所有功能类型中是最高的。这意味着,几乎每一款主题壁纸类应用都可能存在至少一个高危漏洞。紧随