為(wèi)让更多(duō)人了解目前应用(yòng)市场的数据情况，爱加密携手天翼安(ān)全基于移动应用(yòng)大数据平台编写《2023上半年全國(guó)移动应用(yòng)安(ān)全观测报告》，本报告全文(wén)27页(yè)，约8400字，本文(wén)仅摘选部分(fēn)内容，供各位参考，全文(wén)可(kě)在文(wén)末获取。

 

 

• 前言

随着各监管机构的监管力度加强，如《中(zhōng)华人民(mín)共和國(guó)反電(diàn)信网络诈骗法》、《互联网信息服務(wù)管理(lǐ)办(bàn)法》，规定设立移动互联网应用(yòng)程序应当按照國(guó)家有(yǒu)关规定向電(diàn)信主管部门办(bàn)理(lǐ)许可(kě)或者备案手续，《工(gōng)业和信息化部关于开展移动互联网应用(yòng)程序备案工(gōng)作(zuò)的通知》更要求未履行备案手续的APP，不得从事APP互联网信息服務(wù)。各主流分(fēn)发渠道上架应用(yòng)的审核愈发严格，经过备案，有(yǒu)开发主體(tǐ)信息的应用(yòng)越来越多(duō)。

数字经济成為(wèi)稳增長(cháng)促转型的重要引擎，数字技(jì )术和实體(tǐ)经济融合深入推进。移动互联网应用(yòng)使用(yòng)场景和数量的不断增加，移动互联网应用(yòng)安(ān)全问题也逐渐凸显，如2023年9月经國(guó)家网信办(bàn)查实，某公(gōng)司多(duō)款App存在违反必要原则收集个人信息等违法行為(wèi)。國(guó)家网信办(bàn)对其处人民(mín)币5000万元罚款。该机构掌握着大量个人信息、重点行业领域重要数据，易成為(wèi)境外黑客组织攻击对象。监管机构对此类企业下的移动应用(yòng)进行严格监管是為(wèi)了保障网络安(ān)全和数据安(ān)全，从而维护國(guó)家安(ān)全。

同时相比移动应用(yòng)，微信小(xiǎo)程序新(xīn)增速度较快，许多(duō)企业為(wèi)了降本增效，从传统的Android和iOS应用(yòng)转向小(xiǎo)程序运营。然而，小(xiǎo)程序的监管难度较大，因此也存在较大的风险需要加以关注和解决。

 

 

全國(guó)移动应用(yòng)分(fēn)发渠道分(fēn)布

 

截至2023年上半年，爱加密携手天翼安(ān)全利用(yòng)移动应用(yòng)安(ān)全大数据平台收录全國(guó)Android应用(yòng)、iOS应用(yòng)、微信公(gōng)众号、微信小(xiǎo)程序情况并进行分(fēn)析。

2023上半年，全國(guó)总计更新(xīn)的Android应用(yòng)约17万款，新(xīn)增Android应用(yòng)约11万款。2023上半年更新(xīn)的Android应用(yòng)中(zhōng)，有(yǒu)52.36%的应用(yòng)有(yǒu)明确的开发、运营主體(tǐ)，其余的是个人开发者或者没有(yǒu)实名(míng)登记运营信息。

个人信息保护方面情况概述   

1.个人信息自动化检测违规情况  

2023上半年，针对全國(guó)Android应用(yòng)进行了个人信息合规性抽样检测，总计送检9万+款应用(yòng)。其中(zhōng)，存在“超范围收集个人信息”的占比29.29%；存在“APP频繁自启动和关联启动”的占比26.34%；存在“违规收集个人信息”的占比為(wèi)16.59%。

开发企业、运营企业作(zuò)為(wèi)责任主體(tǐ)应提高认识，严格自律，而广大用(yòng)户则需要增强隐私保护意识，不轻易安(ān)装(zhuāng)来源不明的移动应用(yòng)。

Android应用(yòng)违规类型分(fēn)布

也针对部分(fēn)iOS应用(yòng)进行了个人信息合规性抽样检测，总计送检1千+款应用(yòng)。其中(zhōng)，存在“违规收集个人信息”的占比48.92%；存在“超范围收集个人信息”的占比36.22%；存在“APP频繁自启动和关联启动”的占比為(wèi)3.94%。

iOS应用(yòng)违规类型分(fēn)布

2.数据跨境传输目的地分(fēn)布情况  

对送检的9万+款Android应用(yòng)的数据传输行為(wèi)分(fēn)析，发现存在“将数据传输至境外服務(wù)器”的移动应用(yòng)占比12.19%。

数据流向多(duō)个國(guó)家和地區(qū)。排名(míng)第一的目的地是美國(guó)，占比42.60%；排名(míng)第二的是中(zhōng)國(guó)香港，占比19.60%；排名(míng)第三的是日本，占比10.39%。

Android应用(yòng)数据跨境传输目的地TOP10

检测到有(yǒu)部分(fēn)iOS应用(yòng)关联境外IP或者域名(míng)。具(jù)體(tǐ)来看，排名(míng)第一的目的地是美國(guó)，占比70.45%；排名(míng)第二的是中(zhōng)國(guó)香港，占比22.73%；排名(míng)第三的是新(xīn)加坡，占比為(wèi)5.68%。

iOS应用(yòng)数据跨境传输目的地

3.数据明文(wén)传输类型情况

据个人信息合规性检测结果显示，有(yǒu)约2.5万款Android应用(yòng)存在“明文(wén)传输”的违规情况。

从传输个人信息类型进行分(fēn)析来看：存在“明文(wén)传输”的违规应用(yòng)中(zhōng)传输“个人基本资料”的应用(yòng)占比最高，达到了55.77%；其次是传输“个人常用(yòng)设备信息”的应用(yòng)，占比為(wèi)49.13%；排名(míng)第三是传输“网络身份标识信息”的应用(yòng)，占比為(wèi)20.91%。

用(yòng)户的个人信息在信息传输过程中(zhōng)造成个人信息泄漏，建议有(yǒu)关机构督促开发者针对“传输”做到加密处理(lǐ)。下图為(wèi)存在明文(wén)传输的Android应用(yòng)中(zhōng)传输个人信息类型详情：

Android应用(yòng)传输个人信息类型

据检测结果显示，有(yǒu)约400款iOS应用(yòng)存在“明文(wén)传输”的违规情况。从传输个人信息类型进行分(fēn)析来看：存在“明文(wén)传输”的违规应用(yòng)中(zhōng)传输“个人常用(yòng)设备信息”的应用(yòng)占比最高，达到了66.04%；其次是传输“网络身份标识信息”的应用(yòng)，占比為(wèi)45.28%；排名(míng)第三是传输“个人基本资料”的应用(yòng)，占比為(wèi)18.87%。下图為(wèi)存在明文(wén)传输的iOS应用(yòng)中(zhōng)传输个人信息类型详情：

iOS应用(yòng)传输个人信息类型

    

全國(guó)通报应用(yòng)概况  

1.通报应用(yòng)总量综合情况   

2023上半年全國(guó)总计通报的应用(yòng)1114款，其中(zhōng)，各地通管局通报应用(yòng)878款，占全國(guó)通报应用(yòng)的78.82%；工(gōng)信部通报157款，占全國(guó)通报应用(yòng)的14.09%；各地网信办(bàn)通报135款，占全國(guó)通报应用(yòng)的7.09%。

个人信息违规通报机构分(fēn)布

2.通报个人信息问题类型分(fēn)布情况

针对全國(guó)通报的应用(yòng)进行个人信息违规类型统计，结果显示，42.49%的应用(yòng)存在“违规收集个人信息”的情况；23.05%的应用(yòng)存在“APP强制、频繁、过度、索取权限”的情况；17.49%的应用(yòng)存在“未明示收集使用(yòng)个人信息的目的、方式和范围”的情况。具(jù)體(tǐ)违规详情如下：

个人信息违规类型分(fēn)布TOP10

   

    

漏洞风险概况  

1.各等级风险漏洞情况   

爱加密携手天翼安(ān)全利用(yòng)安(ān)全检测引擎，对2023上半年有(yǒu)更新(xīn)的应用(yòng)，进行107项漏洞扫描。

检查结果显示：高危Android应用(yòng)数占已检测Android应用(yòng)总数的92.25%，高危iOS应用(yòng)数占已检测iOS应用(yòng)总数的87.81%。目前存在高危漏洞的移动互联网应用(yòng)数量占比居高不下，漏洞安(ān)全仍需重点关注。

不同风险等级漏洞的应用(yòng)占比

2.各风险漏洞类型应用(yòng)排行情况

2023上半年，全國(guó)近10万款Android应用(yòng)通过移动应用(yòng)安(ān)全平台进行风险检测，其中(zhōng)，有(yǒu)高危漏洞的应用(yòng)约9万款，占应用(yòng)总数的92.25%。

本年度排名(míng)前三的漏洞分(fēn)别是：“资源文(wén)件泄露风险”、“StrandHogg漏洞”、“SO库导出符号泄露风险”。存在漏洞较多(duō)的移动应用(yòng)更加容易受到攻击，造成用(yòng)户隐私泄露或直接的财产(chǎn)损失，应用(yòng)运营者/开发者应采取安(ān)全加固等有(yǒu)效措施，防范和应对网络攻击，保障系统安(ān)全平稳运行。详见下图：

Android应用(yòng)漏洞类型排行

已完成检测的iOS中(zhōng)，存在的篡改和二次打包风险数量最多(duō)，占检测总数的56.38%；其次是注入攻击风险，占检测总数的40.32%；排在第三位的是动态调试攻击风险，占检测总数的27.29%。详情如下：

iOS应用(yòng)漏洞类型排行

    

    

移动互联网应用(yòng)技(jì )术安(ān)全保护措施   

1.未采取技(jì )术安(ān)全保护措施的应用(yòng)占比情况

对全國(guó)2023上半年更新(xīn)的应用(yòng)中(zhōng)未采取技(jì )术安(ān)全保护措施的应用(yòng)（即未加固应用(yòng)）情况进行统计，已采取技(jì )术安(ān)全保护措施的应用(yòng)约2万款，占11.97%，未采取技(jì )术安(ān)全保护措施的应用(yòng)占总量的88.03%。

应用(yòng)如果不进行技(jì )术安(ān)全保护措施会无法确保应用(yòng)安(ān)全，无法防止被破解、二次打包、恶意篡改等。近三年未采取技(jì )术安(ān)全保护措施的应用(yòng)占比变化如下：

近三年未采取技(jì )术安(ān)全保护措施的应用(yòng)占比

2.未采取技(jì )术安(ān)全保护措施的应用(yòng)功能(néng)类型分(fēn)布情况

通过对未采取技(jì )术安(ān)全保护措施的应用(yòng)功能(néng)类型进行统计发现，游戏类未采取技(jì )术安(ān)全保护措施应用(yòng)占该类型应用(yòng)总量的94.10%，排名(míng)第一。

在各功能(néng)类型中(zhōng)，游戏类应用(yòng)未采取技(jì )术安(ān)全保护措施占比最高，且应用(yòng)总量也是最高。游戏类应用(yòng)大多(duō)需要实名(míng)制认证，绑定了用(yòng)户的身份信息和手机号等。若不进行技(jì )术安(ān)全保护措施，应用(yòng)极易被病毒植入、广告替换、支付渠道篡改、钓鱼、信息劫持等，会严重侵害开发者的利益或威胁到用(yòng)户的信息安(ān)全，所以未采取技(jì )术安(ān)全保护措施的应用(yòng)需要对应用(yòng)进行安(ān)全加固防护。详见下图：

未采取技(jì )术安(ān)全保护措施应用(yòng)功能(néng)类型分(fēn)布TOP10

个人信息安(ān)全保护措施   

目前大多(duō)数移动应用(yòng)存在各种安(ān)全漏洞风险，随着移动应用(yòng)与物(wù)联网的结合，攻击者可(kě)以利用(yòng)移动应用(yòng)的安(ān)全漏洞风险等攻击物(wù)联网设备，物(wù)联网设备和移动应用(yòng)收集了大量的个人数据，可(kě)能(néng)导致敏感信息被黑客利用(yòng)或窃取，侵犯用(yòng)户的权益。安(ān)全漏洞带来的风险进一步增强，使移动应用(yòng)新(xīn)场景安(ān)全威胁更加严峻。

面对仍然严峻的风险形势，為(wèi)保障移动互联网应用(yòng)的安(ān)全性，移动应用(yòng)分(fēn)发渠道在应用(yòng)上架时要进行全面的安(ān)全测试，保障上架应用(yòng)的安(ān)全性。同时开发运营者自身安(ān)全意识不高，需要企业积极推动各项网络安(ān)全建设的实施，增强安(ān)全意识。如：1.要求企业制定内部管理(lǐ)制度和操作(zuò)流程；2.合理(lǐ)确定个人信息处理(lǐ)的操作(zuò)权限，定期对从业人员进行安(ān)全教育和培训；3.制定并组织实施个人信息安(ān)全事件紧急预案；4.对个人信息实行分(fēn)类管理(lǐ)；5.采取相应的加密、去标识化等安(ān)全技(jì )术措施等。

爱加密可(kě)提供专业的移动应用(yòng)安(ān)全检测、移动应用(yòng)个人信息安(ān)全检测、移动应用(yòng)个人信息安(ān)全合规评估服務(wù)等服務(wù)。具(jù)备全方位的个人信息合规检测、个人信息漏洞检测、安(ān)全应用(yòng)备案、持续监督等能(néng)力。可(kě)以帮助企业在iOS、Android、小(xiǎo)程序应用(yòng)发布前评估个人信息的安(ān)全性和合规性，為(wèi)监管部门准确、快速、有(yǒu)效地提供行政执法依据；為(wèi)测评机构出具(jù)专业的个人信息测评报告。

爱加密移动应用(yòng)个人信息安(ān)全合规评估服務(wù)可(kě)以使App运营者符合监管要求，切实负起个人信息保护的责任，助力我國(guó)个人信息保护水平迈上新(xīn)台阶。有(yǒu)利于通过App个人信息安(ān)全认证，App应用(yòng)在搜索引擎、应用(yòng)商(shāng)店(diàn)等会明确标识并优先推荐通过认证。

产(chǎn)品优势

1.全面覆盖安(ān)全合规业務(wù)范畴

本服務(wù)涵盖了App违法违规收集使用(yòng)个人信息合规工(gōng)作(zuò)所有(yǒu)业務(wù)范畴，包括隐私政策文(wén)本、收集使用(yòng)个人信息行為(wèi)、用(yòng)户权利保障这三方面的指导、落实、督查、整改等环节，通过合规工(gōng)作(zuò)机制為(wèi)主線(xiàn)将各业務(wù)模块无缝连接起来，确保APP应用(yòng)合规工(gōng)作(zuò)全面完整。

2.确保合规落实有(yǒu)效

经过多(duō)年经验积累，爱加密囊括了应满足的所有(yǒu)安(ān)全合规要求，以及落实这些要求对应的实施措施、检查方法，使信息安(ān)全合规建设有(yǒu)章可(kě)循、有(yǒu)据可(kě)依，大大降低了人力、技(jì )术要求，确保落实不留死角、不留空白，全面有(yǒu)效。

3.安(ān)全合规工(gōng)作(zuò)专业化

通过专业化的安(ān)全合规评估工(gōng)作(zuò)，可(kě)将安(ān)全合规中(zhōng)所暴露的问题，推送整改任務(wù)到相关责任人，将管理(lǐ)过程简单化，分(fēn)析安(ān)全合规问题并寻找对应解决方案，使安(ān)全合规工(gōng)作(zuò)和日常安(ān)全运行工(gōng)作(zuò)标准化、专业化。

作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密时刻关注我國(guó)的个人信息安(ān)全发展状况，致力于通过优质(zhì)的核心技(jì )术，帮助企业、监管机构、测评机构等实现移动应用(yòng)的合法合规，并从行业实践着手大力推动我國(guó)移动应用(yòng)个人信息安(ān)全保护生态的良好发展，帮助进一步障公(gōng)民(mín)个人信息的全面安(ān)全。

天翼安(ān)全科(kē)技(jì )有(yǒu)限公(gōng)司，作(zuò)為(wèi)中(zhōng)國(guó)電(diàn)信网络安(ān)全的关键承担者，以科(kē)技(jì )与平台為(wèi)双翼，是专业从事网络安(ān)全业務(wù)的科(kē)技(jì )型、平台型公(gōng)司。作(zuò)為(wèi)中(zhōng)國(guó)電(diàn)信建设安(ān)全型企业的主力军和骨干力量，我们以研发运营一體(tǐ)化的方式，整合全集团云网、安(ān)全、数据等优势资源和能(néng)力，进行统一运营，為(wèi)内外部客户提供云网安(ān)全、数据安(ān)全、信息安(ān)全等各类安(ān)全产(chǎn)品和服務(wù)。

爱加密与天翼安(ān)全科(kē)技(jì )有(yǒu)限公(gōng)司联手，共同推出了隐私哨兵产(chǎn)品。这款产(chǎn)品在“中(zhōng)國(guó)電(diàn)信APP”上可(kě)以进行订阅试用(yòng)，能(néng)够有(yǒu)效检测手机上的违法仿冒APP，保护手机个人信息的隐私安(ān)全。