第一章 移动互联网应用(yòng)概况
2022年,各监管部门持续推进App侵害用(yòng)户权益专项整治行动,加大了常态化检查力度,针对App超范围、高频次违规索权,如非服務(wù)场景所必需的收集用(yòng)户个人信息、欺骗误导用(yòng)户下载等违规行為(wèi)进行了检查,并对未按要求完成整改的App进行了通报,上半年工(gōng)信部共通报了4批次,总计255款应用(yòng)。此外,工(gōng)信部加快发布实施《移动互联网应用(yòng)程序个人信息保护管理(lǐ)规定》,持续开展专项整治、突出整治重点问题、加大技(jì )术检测,从完善制度、强化监管、优化感知等多(duō)个方面入手,开展综合治理(lǐ),打好组合拳,為(wèi)用(yòng)户营造一个安(ān)全可(kě)靠的信息通信环境。本章主要介绍全國(guó)移动互联网应用(yòng)的总量、地域分(fēn)布、功能(néng)分(fēn)类分(fēn)布、分(fēn)发渠道和下载量等情况。
1.1移动应用(yòng)总量的综合统计
截止到2022年6月,Android应用(yòng)共计3459400款,其中(zhōng)有(yǒu)运营者/开发者信息,归属地明确為(wèi)的应用(yòng)共计902620款,占比26.09%;未标注运营者/开发者信息,归属地不明确的应用(yòng)共计2556780款,占比73.91%。iOS应用(yòng)共计2493053款;微信公(gōng)众号5624483个;微信小(xiǎo)程序1228289个。具(jù)體(tǐ)情况见下图。
移动应用(yòng)分(fēn)布情况
2022年上半年,Android应用(yòng)总计新(xīn)增243037款,年增長(cháng)7.56%,6个月依次增長(cháng)1.34%、1.13%、1.43%、1.26%、1.03%、1.14%,呈现不断增加的发展趋势。
2022年各月应用(yòng)新(xīn)增量及增幅
1.2移动应用(yòng)的區(qū)域分(fēn)布
通过分(fēn)析运营者/开发者明确的移动应用(yòng)发现,广东省移动应用(yòng)数量位居全國(guó)第一,占总量的31.66%;其次是北京市,占总量的19.02%;上海市位列第三,占总量的9.82%。浙江省和江苏省以6.80%和5.33%的占比,分(fēn)列第四和第五。需要注意的是,难以落实运营者/开发者的移动应用(yòng)往往容易成為(wèi)安(ān)全管理(lǐ)的难点。
移动应用(yòng)區(qū)域分(fēn)布TOP10
1.3移动应用(yòng)的功能(néng)分(fēn)类分(fēn)布
根据移动应用(yòng)的功能(néng)来看,移动应用(yòng)可(kě)细分(fēn)為(wèi)游戏应用(yòng)、生活实用(yòng)、系统工(gōng)具(jù)、办(bàn)公(gōng)學(xué)习、资讯阅读等主要类型。其中(zhōng),游戏类移动应用(yòng)数量占总量的43.28%,位居第一,遠(yuǎn)高于其他(tā)类型;生活实用(yòng)类移动应用(yòng)数量占总量的9.82%,位居第二;系统工(gōng)具(jù)类应用(yòng)数量占总量的5.65%,位居第三。显示出移动应用(yòng)主要集中(zhōng)在与日常生活紧密联系的娱乐、生活和學(xué)习领域,此类移动应用(yòng)使用(yòng)频率高、获取个人信息较多(duō),安(ān)全风险较大。
移动应用(yòng)功能(néng)分(fēn)类分(fēn)布TOP10
1.4移动应用(yòng)的分(fēn)发渠道分(fēn)布
移动应用(yòng)分(fēn)发渠道主要包括应用(yòng)商(shāng)店(diàn)、贴吧和论坛等。全國(guó)移动应用(yòng)分(fēn)发渠道总计约1000+个。从在架应用(yòng)的分(fēn)布来看,渠道占比排名(míng)前三的分(fēn)别為(wèi)360市场、应用(yòng)宝和豌豆荚,下图為(wèi)移动应用(yòng)分(fēn)发渠道排行TOP10。
移动应用(yòng)分(fēn)发渠道排行TOP10
1.5移动应用(yòng)的下载量统计
综合全國(guó)移动应用(yòng)分(fēn)发渠道的下载量统计,累计下载量排名(míng)第一的是北京微播视界科(kē)技(jì )有(yǒu)限公(gōng)司开发的“抖音”(com.ss.android.ugc.aweme),下载728亿次,属于“影音播放类”应用(yòng);其次是上海寻梦信息技(jì )术有(yǒu)限公(gōng)司开发的“拼多(duō)多(duō)”(com.xunmeng.pinduoduo),下载709亿次,属于“网上購(gòu)物(wù)类”应用(yòng);排名(míng)第三的是南京尚网网络科(kē)技(jì )有(yǒu)限公(gōng)司开发的“WiFi万能(néng)钥匙”(com.snda.wifilocating),下载552亿次,属于“生活实用(yòng)”应用(yòng)。显示下载量较高的主要是影音播放、网上購(gòu)物(wù)等生活实用(yòng)类应用(yòng),与民(mín)众生活息息相关。
移动应用(yòng)下载量排行TOP10
1.6活跃移动应用(yòng)的功能(néng)分(fēn)类分(fēn)布
活跃移动应用(yòng)(即三个月内有(yǒu)更新(xīn)的应用(yòng))总计112205款。从功能(néng)分(fēn)类来看,游戏类应用(yòng)活跃度最高,占总量的47.49%;生活实用(yòng)类应用(yòng)排名(míng)第二,占比7.76%;办(bàn)公(gōng)學(xué)习类应用(yòng)排名(míng)第三,占比7.36%。游戏类应用(yòng)总量排名(míng)第一且更新(xīn)频率较高,需要着重关注其风险。生活实用(yòng)类应用(yòng)和办(bàn)公(gōng)學(xué)习类应用(yòng)获取个人信息较多(duō)、使用(yòng)频率高,需加强关注。
活跃移动应用(yòng)的功能(néng)分(fēn)类分(fēn)布TOP10
第二章 移动互联网应用(yòng)个人信息采集概况
移动互联网应用(yòng)在收集个人信息时,应当根据业務(wù)需要收集用(yòng)户信息,必须遵循“最小(xiǎo)必要”的基本准则。但随着移动互联网应用(yòng)收集用(yòng)户个人信息的技(jì )术实现途径多(duō)样化,其中(zhōng)有(yǒu)部分(fēn)出现了违规收集的情况,包括违规收集个人信息,或通过文(wén)字游戏诱导用(yòng)户同意。另一种是未以清晰限定收集的目的、方式及范围,例如超范围收集个人信息,给用(yòng)户隐私和利益带来潜在风险和危害。本章主要介绍移动互联网应用(yòng)个人信息采集合规性抽样检测和存在合规性问题的应用(yòng)的功能(néng)类型分(fēn)布等情况。
2.1个人信息敏感权限采集情况
对全國(guó)2022年1-6月有(yǒu)更新(xīn)或新(xīn)上架的移动互联网应用(yòng)所获取的敏感权限进行分(fēn)析,共发现存在获取敏感权限的应用(yòng)87062款。其中(zhōng),申请储存相关权限的应用(yòng)最多(duō),占总量的92.32%;其次是申请電(diàn)话相关权限的应用(yòng),占总量的84.43%;排名(míng)第三的是申请位置相关权限的应用(yòng),占总量的65.56%。排名(míng)前三的个人信息敏感权限占比均在50%以上,且存储权限占比接近100%,显示移动互联网应用(yòng)对个人信息相关的敏感权限获取存在过度的风险。
应用(yòng)获取个人信息相关的敏感权限TOP10
2.2个人信息采集合规性抽样检测情况
2022年上半年,对78462款移动互联网应用(yòng)进行个人信息合规性抽样检测发现,存在“违规收集个人信息”的占比27.35%;存在“超范围收集个人信息”的占比25.30%;存在“App强制、频繁、过度索取权限”的占比5.46%。违规和超范围收集个人信息成為(wèi)最主要也是最严重的个人信息采集违规情况,背离了采集个人信息应遵守“最小(xiǎo)化原则”的法律规定。开发企业、运营企业作(zuò)為(wèi)责任主體(tǐ)应提高认识,严格自律,而广大用(yòng)户需要提高隐私保护意识,不轻易安(ān)装(zhuāng)来源不明的移动应用(yòng)。
个人信息违规类型分(fēn)布
2.3个人信息违规应用(yòng)的功能(néng)类型分(fēn)布情况
从功能(néng)类型分(fēn)类来看,各类功能(néng)应用(yòng)中(zhōng),存在违规问题占比最高的是旅游出行类,占该类型应用(yòng)检测总量的40.75%;其次是游戏类,占该类型应用(yòng)检测总量的38.27%,位居第二;网上購(gòu)物(wù)类占该类型应用(yòng)检测总量的38.22%,位居第三。分(fēn)析还发现,个人信息检测违规应用(yòng)功能(néng)类型分(fēn)布排名(míng)靠前的十大类移动互联网应用(yòng)的违规问题占比均在35%以上,表明当前移动互联网应用(yòng)违规问题相对严峻,仍需加强治理(lǐ)。
个人信息检测违规应用(yòng)功能(néng)类型分(fēn)布TOP10
2.4数据明文(wén)传输类型情况
个人信息合规性检测结果显示,有(yǒu)10394款移动应用(yòng)存在“明文(wén)传输”的违规情况。分(fēn)析传输个人信息类型发现:传输“个人基本资料”的应用(yòng)占比最高,高达66.34%;其次是传输“个人常用(yòng)设备信息”的应用(yòng),占比為(wèi)64.37%;排名(míng)第三的是传输“网络身份标识信息”的应用(yòng),占比為(wèi)60.69%。此外,个人健康生理(lǐ)信息和个人位置信息也是明文(wén)传输占比较高的信息类型。用(yòng)户的个人信息在信息传输过程中(zhōng)容易出现个人信息泄漏,建议开发者针对“个人信息传输”进行加密处理(lǐ)。
明文(wén)传输个人信息类型TOP10
第三章 移动互联网应用(yòng)数据跨境传输概况
在经济全球化和大数据发展背景下,数据开放和共享,尤其是跨境传输事关國(guó)家数据安(ān)全和数字经济发展。中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法第三十七条明确了:关键信息基础设施的运营者在中(zhōng)华人民(mín)共和國(guó)境内运营中(zhōng)收集和产(chǎn)生的个人信息和重要数据应当在境内存储。因业務(wù)需要,确需向境外提供的,应当按照國(guó)家网信部门会同國(guó)務(wù)院有(yǒu)关部门制定的办(bàn)法进行安(ān)全评估;法律、行政法规另有(yǒu)规定的,依照其规定。本章主要介绍移动应用(yòng)跨境数据传输目的地和应用(yòng)功能(néng)分(fēn)类等情况。
3.1数据跨境传输的移动应用(yòng)概况
对2022年上半年更新(xīn)或新(xīn)上架的131999款移动应用(yòng)的数据传输行為(wèi)进行检测发现,存在“将数据传输至境外服務(wù)器”的移动应用(yòng)占比2.53%。显示部分(fēn)移动应用(yòng)涉及数据跨境传输,需警惕在合规性方面可(kě)能(néng)存在的风险和隐患。
数据跨境传输的移动应用(yòng)占比情况
3.2数据跨境传输目的地分(fēn)布
检测发现关联境外IP或域名(míng)的移动应用(yòng)共计3328款,数据流向多(duō)个國(guó)家和地區(qū)。具(jù)體(tǐ)来看,数据跨境传输目的地排名(míng)第一的是美國(guó),占比61.70%;排名(míng)第二的是中(zhōng)國(guó)香港,占比21.01%;排名(míng)第三的是新(xīn)加坡,占比6.09%。值得注意的是,移动应用(yòng)还存在将程序代码等数据直接外发或通过第三方SDK向境外传输数据的行為(wèi),存在重大的安(ān)全风险。
数据跨境传输目的地TOP10
3.3应用(yòng)存在数据跨境传输的功能(néng)类型分(fēn)布
结合相关移动应用(yòng)的功能(néng)分(fēn)类来看,涉及数据跨境传输的移动应用(yòng)中(zhōng),游戏类应用(yòng)占该类型检测总量的5.84%,排名(míng)第一;育儿亲子类应用(yòng)占该类型检测总量的3.05%,排名(míng)第二;系统工(gōng)具(jù)类应用(yòng)占该类型检测总量的2.64%,排名(míng)第三。此外,拍摄美化类、影音播放类、健康运动类、生活实用(yòng)类、社交通讯类和金融理(lǐ)财类等类型的移动互联网应用(yòng)涉及数据跨境传输的比例也较高,且这些应用(yòng)与日常生活紧密联系,尤其是游戏、育儿亲子和系统工(gōng)具(jù)类,涉及到个人敏感信息较多(duō),使用(yòng)频率也较高,风险较大。值得注意的是,游戏类应用(yòng)总数量较多(duō),存在跨境传输的应用(yòng)占比也较高,且多(duō)数游戏需要实名(míng)制,绑定用(yòng)户的身份证等敏感信息,一旦境外服務(wù)器受到攻击,极易造成用(yòng)户敏感信息泄露。
数据跨境传输移动应用(yòng)的功能(néng)分(fēn)类TOP10
第四章 重点行业移动互联网应用(yòng)概况
随着移动互联网终端的不断创新(xīn)与发展,移动互联网应用(yòng)与人们的生活息息相关,给人们生活带来便利的同时也改变了人们的生活方式。本章主要介绍各重点类型的移动互联网应用(yòng)。
4.1 人脸核身、热更新(xīn)风险防范
随着科(kē)技(jì )的发展,人脸识别技(jì )术在手机App上的应用(yòng)已经非常普及了,已经被广泛运用(yòng)于刷脸支付、刷脸安(ān)检、刷脸入住酒店(diàn)等就像吃饭喝(hē)水一样自然。截止到目前為(wèi)止,大数据平台收录“人脸识别”类的App有(yǒu)9566款,这些应用(yòng)虽然一定程度上提升管理(lǐ)效率,提升交互體(tǐ)验,然而此类应用(yòng)的个人隐私安(ān)全也令人担忧。在互联网时代像人脸识别这种生物(wù)特征认证,一旦被采集转换為(wèi)计算机代码存入数据库就有(yǒu)可(kě)能(néng)存在风险。特征数据库一旦受到攻击,被犯罪分(fēn)子获取,极易造成用(yòng)户损失。普通密码丢失时我们可(kě)以选择更换密码,人脸数据一旦泄露,我们也没有(yǒu)第二张脸可(kě)以更换。另外,“人脸识别”产(chǎn)品中(zhōng)“活體(tǐ)检测”的安(ān)全性能(néng)也值得重视,比如有(yǒu)些产(chǎn)品存在“未对采集环境进行安(ān)全检查”或者“未对采集图像进行合理(lǐ)校验”等问题,导致攻击者可(kě)以轻易恶意劫持人脸图像,让服務(wù)器认定照片就是本人,由此来通过身份认证。此前已有(yǒu)类似的案例导致用(yòng)户的数据安(ān)全、财产(chǎn)安(ān)全受到威胁。
同时值得关注的还有(yǒu)移动应用(yòng)热更新(xīn)技(jì )术,它是开发者常用(yòng)更新(xīn)方式,常常用(yòng)于一些紧急bug修复、功能(néng)模块升级、重要数据同步等,这样对于开发者来说,不仅提高了升级效率,降低升级时间成本,同时对于用(yòng)户體(tǐ)验来说,也是非常友好和便捷。
但是由于热更新(xīn)技(jì )术,被一些黑灰产(chǎn)利用(yòng)以后,带来的却是审核监管的难点。2017年时,苹果审核团队就要求开发者,移除所有(yǒu)热更新(xīn)相关代码、框架或热更新(xīn)SDK,并重新(xīn)提交审核,否则将下架该应用(yòng)。
黑灰产(chǎn)是如何利用(yòng)热更新(xīn)让App大变脸的呢(ne)?他(tā)们会正常向应用(yòng)商(shāng)店(diàn)提交一款功能(néng)非常正常的App,但是在代码中(zhōng)加入了热更新(xīn)功能(néng)。一些小(xiǎo)众App分(fēn)发平台审核人员在审核应用(yòng)时,由于没有(yǒu)相关法规要求或没有(yǒu)相关检测要求,甚至分(fēn)发平台根本就没有(yǒu)设置审核流程,这类App容易发布到互联网上。用(yòng)户通过分(fēn)发平台下载App并安(ān)装(zhuāng)后,开发人员会在一定时间内,在服務(wù)器发布App版本升级指令。App在用(yòng)户手机上运行时,一旦请求服務(wù)器并确认有(yǒu)最新(xīn)的升级时,App则会悄悄地在后台下载升级代码,并组装(zhuāng)代码形成一个新(xīn)的功能(néng)或者成為(wèi)一个新(xīn)的App。而新(xīn)的App所有(yǒu)功能(néng)和代码,都有(yǒu)可(kě)能(néng)和原App完全不一样,黑灰产(chǎn)可(kě)以利用(yòng)代码的热更新(xīn)升级,肆意植入恶意代码或者违法犯罪的功能(néng)等,逃避审核,直达用(yòng)户。
那么如何防范热更新(xīn)给监管带来的困难、用(yòng)户带来的风险呢(ne)?首先应用(yòng)商(shāng)店(diàn)应该建立严格的审核机制和热更新(xīn)规范,要求上架App禁止使用(yòng)热更新(xīn)模块,审核通过后方可(kě)上架分(fēn)发。其次加大监管力度,对互联网上分(fēn)发传播的App,检测出有(yǒu)热更新(xīn)模块,引导开发者用(yòng)正确的升级方式,拒不整改的则立即要求下架。
4.2“漫画”类移动应用(yòng)涉黄以及缺少未成年人保护的措施
近年来,“漫画”类移动应用(yòng)快速兴起,从内容合规与风险防控的角度出发,我们针对某些活跃群體(tǐ)大多(duō)数是青少年的,具(jù)备发布漫画与打赏作(zuò)者功能(néng)的应用(yòng)进行初步巡检,随机抽查此类应用(yòng)的内容,发现部分(fēn)应用(yòng)中(zhōng)存在发布同性恋、色情漫画买卖、外链引流售卖色情漫画等危害青少年的身心健康内容,应用(yòng)平台未及时屏蔽敏感信息,运营主體(tǐ)需提高动漫色情低俗内容的研判能(néng)力,扩展安(ān)审团队对于风险内容的研判边界。
“漫画”类应用(yòng)存在涉黄以及未缺少未成年人保护的措施
第五章 移动互联网应用(yòng)漏洞概况
大多(duō)数移动应用(yòng)安(ān)全事件是由相同的漏洞、不安(ān)全的编码实践,以及缺乏足够的安(ān)全测试造成的。本章主要介绍移动应用(yòng)近几个月来存在的高危漏洞风险变化、漏洞类型、漏洞应用(yòng)功能(néng)分(fēn)类等情况。
5.1应用(yòng)存在高危风险漏洞变化情况
2022年上半年,对2558713款应用(yòng)进行107项漏洞扫描发现,74.79%以上的移动互联网应用(yòng)存在高危漏洞风险。这与检测技(jì )术的提升存在一定的关联性。下图為(wèi)2022年1-6月的高危漏洞详情。
2022年1-6月检测出存在高危漏洞的应用(yòng)占比变化
5.2移动应用(yòng)高危漏洞类型情况
移动互联网应用(yòng)漏洞类型主要有(yǒu)Janus漏洞、截屏攻击风险和未移除有(yǒu)风险的WebView系统隐藏接口漏洞等,占比分(fēn)别為(wèi)56.04%、51.41%和47.95%。此外,Java代码加壳风险和日志(zhì)数据泄露风险也值得关注,占比分(fēn)别為(wèi)47.69%和47.59%。
移动应用(yòng)漏洞类型TOP10
5.3各功能(néng)类型应用(yòng)存在高危漏洞风险的情况
从功能(néng)类型来看,主题壁纸类存在高危漏洞风险的应用(yòng)数量占该类型应用(yòng)检测总量的99.34%,位居第一;其次是金融理(lǐ)财类,占该类型应用(yòng)检测总量的97.31%;第三是辅助软件类,占该类型应用(yòng)检测总量的94.97%。存在高危漏洞最多(duō)的应用(yòng)如果受到攻击容易导致用(yòng)户的隐私泄露或直接财产(chǎn)损失,监管机构应加强对相关应用(yòng)的监管。同时应用(yòng)开发者应采取有(yǒu)效措施如通过使用(yòng)应用(yòng)加固,防范应对网络攻击,保障系统安(ān)全平稳运行。
存在高危漏洞风险应用(yòng)的功能(néng)分(fēn)类排行TOP10
5.4存在高危漏洞风险的移动应用(yòng)區(qū)域分(fēn)布情况
从存在高危漏洞风险应用(yòng)在各區(qū)域的实际占比情况来看,重庆市存在高危漏洞风险的应用(yòng)数量占该區(qū)域应用(yòng)检测总量的97.84%,位居第一;其次是云南省,占该區(qū)域应用(yòng)检测总量的96.16%;第三是内蒙古自治區(qū),占该區(qū)域应用(yòng)检测总量的86.83%。
存在漏洞风险移动应用(yòng)在各省的占比TOP10
第六章 移动互联网恶意应用(yòng)概况
恶意软件是当前互联网上最大的安(ān)全威胁之一,是一种恶意侵入性软件程序,包括但不限于病毒、蠕虫、间谍软件、广告软件、诈骗和网络钓鱼、勒索软件、机器人、特洛伊木(mù)马、Rootkit和键盘记录器等。网络犯罪分(fēn)子发送恶意软件进行网络攻击,导致勒索软件攻击量激增,给公(gōng)众的个人信息安(ān)全和财产(chǎn)安(ān)全带来了重要威胁。本章主要介绍移动应用(yòng)近几个月来存在的高危漏洞风险变化、漏洞类型、漏洞应用(yòng)功能(néng)分(fēn)类等情况。
6.1恶意程序的类型分(fēn)布
检测发现,2022年上半年含有(yǒu)恶意程序的应用(yòng)从类型分(fēn)布来看,恶意程序类型以“流氓行為(wèi)”為(wèi)主,占比87.05%。
主要恶意程序类型排名(míng)
6.2恶意程序的分(fēn)发渠道分(fēn)布
恶意程序分(fēn)发渠道排名(míng)第一的是“嗨客手机站”,占恶意程序总量的43.03%;排名(míng)第二是“魅卓网”,占比6.97%;排名(míng)第三的是“新(xīn)云网络”,占比5.78%。下图為(wèi)恶意应用(yòng)分(fēn)发渠道TOP10:
恶意应用(yòng)分(fēn)发渠道TOP10
6.3恶意程序的功能(néng)分(fēn)类分(fēn)布
从恶意应用(yòng)在各功能(néng)分(fēn)类中(zhōng)的分(fēn)布情况来看,游戏类存在恶意应用(yòng)的数量占恶意应用(yòng)总量的60.96%,位居第一;影音播放类占比4.98%,位居第二;生活实用(yòng)类占比4.38%,位居第三。
恶意应用(yòng)的功能(néng)分(fēn)类TOP10
第七章 移动互联网应用(yòng)嵌入SDK概况
SDK广泛应用(yòng)于移动应用(yòng)设计开发阶段。為(wèi)提高开发效率、降低成本,移动应用(yòng)开发商(shāng)往往将某项功能(néng)交给第三方来开发,第三方将服務(wù)封装(zhuāng)為(wèi)工(gōng)具(jù)包(即SDK)供开发者使用(yòng)。SDK本身可(kě)能(néng)存在安(ān)全漏洞、隐瞒收集个人信息等安(ān)全风险。本章主要介绍2022年移动互联网应用(yòng)嵌入SDK的情况。
7.1移动应用(yòng)集成SDK的平均数量
移动互联网应用(yòng)平均集成6.49个SDK,网上購(gòu)物(wù)类、社交通讯类、旅游出行类平均集成SDK数量名(míng)列前三,分(fēn)别為(wèi)10.25个、9.91个和8.70个。不仅如此,办(bàn)公(gōng)學(xué)习、生活实用(yòng)、健康运动、金融理(lǐ)财、游戏应用(yòng)、育儿亲子和影音播放类平均集成SDK的量也较高,均在5个以上。第三方的SDK开发侧重于功能(néng)性的完善,在安(ān)全性方面的投入较少,可(kě)能(néng)存在一些安(ān)全问题,需提高对平均嵌入SDK较多(duō)的各类App的重视。
各应用(yòng)功能(néng)类型平均集成SDK数量TOP10
7.2移动应用(yòng)嵌入SDK的类型分(fēn)布
从移动应用(yòng)嵌入第三方SDK类型来看,最常见、使用(yòng)最多(duō)的SDK类型包括工(gōng)具(jù)类、框架类、推送类、依赖库类和支付类。其中(zhōng),嵌入了工(gōng)具(jù)类SDK的App数量最多(duō),占比35.55%,遥遥领先;其次是框架类SDK,占比為(wèi)9.51%;排名(míng)第三的是推送类SDK,占比為(wèi)8.35%。工(gōng)具(jù)类SDK作(zuò)為(wèi)使用(yòng)最广泛的SDK类型,App开发者在使用(yòng)该类型SDK实现功能(néng)的同时也要注意嵌入SDK后带来的安(ān)全风险。
SDK类型分(fēn)布TOP10
7.3嵌入SDK的移动应用(yòng)功能(néng)分(fēn)类分(fēn)布
从嵌入了第三方SDK的移动应用(yòng)功能(néng)分(fēn)类来看,排名(míng)第一的是游戏类,占比25.72%;其次是生活实用(yòng)类,占比14.32%;排名(míng)第三的是金融理(lǐ)财类,占比9.13%。公(gōng)众在使用(yòng)各类移动互联网应用(yòng)时,关注SDK方面的风险,不仅需要了解各类型应用(yòng)的SDK嵌入占比情况,还需要了解每个应用(yòng)嵌入SDK的数量,仔细阅读应用(yòng)的隐私政策,注意保护自身的个人信息安(ān)全。
嵌入SDK的移动应用(yòng)功能(néng)分(fēn)类TOP10
第八章 移动互联网应用(yòng)技(jì )术安(ān)全保护措施概况
随着移动端黑产(chǎn)的日益壮大,為(wèi)了防止被破解、二次打包、恶意篡改等安(ān)全问题,移动互联网应用(yòng)需要通过技(jì )术安(ān)全保护措施维护应用(yòng)安(ān)全。本章主要介绍未采取技(jì )术安(ān)全保护措施的应用(yòng)概况。
8.1未采取技(jì )术安(ān)全保护措施的移动应用(yòng)占比情况
2022年上半年,统计分(fēn)析未采取技(jì )术安(ān)全保护措施的应用(yòng)(即未加固应用(yòng))的情况发现,已采取技(jì )术安(ān)全保护措施的应用(yòng)总计342220款,占9.89%;未采取技(jì )术安(ān)全保护措施的应用(yòng)总计3117180款,占比90.11%,与2020年的安(ān)全系数基本持平,显示2022年移动互联网应用(yòng)在技(jì )术安(ān)全保护措施方面的改善较小(xiǎo)。应用(yòng)如果不采取技(jì )术安(ān)全保护措施则无法确保应用(yòng)安(ān)全,无法防止被破解、二次打包、恶意篡改等问题,安(ān)全风险更大。
未采取技(jì )术安(ān)全保护措施的应用(yòng)占比
8.2未采取技(jì )术安(ān)全保护措施的移动应用(yòng)功能(néng)类型分(fēn)布
通过对未采取技(jì )术安(ān)全保护措施的应用(yòng)功能(néng)类型进行统计发现,主题壁纸类应用(yòng)未采取技(jì )术安(ān)全保护措施的数量占该类型应用(yòng)总量的89.10%,排名(míng)第一;其次是拍摄美化类应用(yòng),占该类型总量的79.99%;排名(míng)第三的是资讯阅读类应用(yòng),占该类型总量的70.68%。应用(yòng)若不采取技(jì )术安(ān)全保护措施,应用(yòng)极易被病毒植入、广告替换、支付渠道篡改、钓鱼、信息劫持等,会严重侵害开发者的利益或威胁到用(yòng)户的信息安(ān)全。建议未采取技(jì )术安(ān)全保护措施的应用(yòng)开发者或运营者应找寻求内外部的专业力量,对应用(yòng)进行安(ān)全加固防护。
未采取技(jì )术安(ān)全保护措施移动互联网应用(yòng)的功能(néng)类型分(fēn)布TOP10
第九章 移动互联网应用(yòng)安(ān)全监管概况
随着移动互联网应用(yòng)网络安(ān)全监管政策的逐步加强,数据安(ān)全和个人信息安(ān)全保护已成為(wèi)重中(zhōng)之重。监管部门开始加大对违规数据跨境、违规或超范围采集和使用(yòng)个人信息、泄露或售卖用(yòng)户数据、侵害用(yòng)户隐私权益等违法违规行為(wèi)的打击力度,进一步构建清朗的网络安(ān)全空间。本章主要介绍2022年移动互联网应用(yòng)安(ān)全监管及安(ān)全态势情况。
9.1通报违规收集个人信息的移动应用(yòng)渠道监测情况
2022年上半年,通过跟踪监管部门通报的780款移动应用(yòng)相关版本的有(yǒu)效下载渠道,发现截至6月仍有(yǒu)422款通报版本的应用(yòng)在部分(fēn)渠道可(kě)以下载。从渠道分(fēn)布来看,闪電(diàn)下载仍有(yǒu)94款被通报应用(yòng)可(kě)以下载,占可(kě)下载通报应用(yòng)总量的22.27%,排名(míng)第一;其次是乐商(shāng)店(diàn),仍有(yǒu)92款被通报应用(yòng)可(kě)以下载,占总量的21.80%;排名(míng)第三的是搜狗应用(yòng),均仍有(yǒu)65款被通报应用(yòng)可(kě)以下载,占总量的15.40%。
通报下架应用(yòng)的有(yǒu)效渠道分(fēn)布TOP10
9.2被通报的移动应用(yòng)功能(néng)类型分(fēn)布
分(fēn)析监管部门通报的移动互联网应用(yòng)在各功能(néng)分(fēn)类中(zhōng)的分(fēn)布发现,生活实用(yòng)类应用(yòng)数量占通报应用(yòng)总量的10.90%,位居第一;办(bàn)公(gōng)學(xué)习类占比8.46%,位居第二;网上購(gòu)物(wù)类占比3.97%,位居第三。
监管机构通报应用(yòng)的功能(néng)分(fēn)类TOP10
第十章 移动互联网应用(yòng)个人信息安(ān)全保护建议
随着移动互联网的快速发展,人们的生活节奏越来越快,移动应用(yòng)信息分(fēn)享更加方便,因此深受用(yòng)户喜爱。但部分(fēn)应用(yòng)所存在的安(ān)全漏洞、违规收集个人信息、内容违规等给用(yòng)户带来了诸多(duō)困扰。守护个人信息安(ān)全不仅仅关乎人民(mín)群众的幸福感、获得感、安(ān)全感,更是与國(guó)家安(ān)全、社会安(ān)全各个层面等都息息相关。
10.1保护个人信息安(ān)全需要各相关主體(tǐ)应履行各自的角色职责
近年来,App强制授权、过度索权、超范围收集个人信息的现象随着监管机构的大量惩处,违法违规使用(yòng)个人信息的问题得到了一定程度的改善,但个人信息安(ān)全问题仍然严峻。对个體(tǐ)而言,个人信息流失轻则导致日常生活被频繁打扰,重则给犯罪分(fēn)子实施诈骗、勒索等犯罪活动提供了便利条件。对于应用(yòng)开发者运营者而言,需要保证数据处理(lǐ)活动的合法合规。数据的收集,不管是通过用(yòng)户主动提供还是自动采集方式收集数据的,应就收集的目的、方式和范围取得用(yòng)户的有(yǒu)效授权,在隐私政策中(zhōng)准确写明。并且数据采集手段、方式恰当、满足“收所必需、用(yòng)所最小(xiǎo)”的基本准则。各地监管部门要加强应用(yòng)备案系统的建设并督促应用(yòng)商(shāng)店(diàn)落实主體(tǐ)责任,加强应用(yòng)上架审核,促进移动互联网健康有(yǒu)序发展。
10.2 建立信息内容发布的审核机制
部分(fēn)应用(yòng)可(kě)能(néng)内容审核不严,充斥着大量软色情、暴力、封建迷信等内容。监管机构需要加强对违规应用(yòng)的监管力度,运营企业也需要加强内容审核,确保内容的安(ān)全健康、合规合法。爱加密移动应用(yòng)大数据中(zhōng)心总监謝(xiè)仰建议,App运营企业首先要对注册用(yòng)户的基本信息进审核,包括头像、昵称、个人介绍的内容,实行“后台实名(míng)、前台自愿”原则。
其次在用(yòng)户发表的评论审核方面,根据网信办(bàn)发布的关于《互联网跟帖评论服務(wù)管理(lǐ)规定(修订草(cǎo)案征求意见稿)》意见稿中(zhōng)提到,平台运营者应当严格落实要建立信息内容发布的审核机制,对评论信息内容必须落实先审后发,及时发现处置违法和不良信息,并向网信部门报告,同时向用(yòng)户提出警告或封停账号等措施。此外,平台需对自身发布或转载的内容进行严格审核,层层把关,做到发布的内容不产(chǎn)生歧义、不违法违规、特别是没有(yǒu)意识形體(tǐ)上的偏差。
最后,平台要建立信息内容的巡检机制,定期对平台发布、用(yòng)户发表的内容进行巡查,避免出现以前合规、现在违规的内容传播。希望在各方力量的共同努力下,我國(guó)的网络空间会变得更加清朗。
京公(gōng)网安(ān)备
11010802025310号