全国移动App风险监测评估报告

近日，由移动互联网系统与应用安全国家工程实验室牵头，中国信息通信研究院安全研究所和北京智游网安科技有限公司（爱加密）一起参与，三方联合发布了《全国移动App风险监测评估报告》（2020年2季度版）。

本次评估报告包括全国移动App安全概况、App行业分布、本季度增量情况、移动应用个人信息安全案例分析、第二季度App风险监测评估总结等内容。App风险监测评估报告面向社会公众免费发布，为行业用户了解本行业App安全提供了参考，也为个人用户开启了一扇了解当下App安全热点的窗户。

国家工程实验室、中国信息通信研究院安全研究所以及爱加密后续会加大合作，把“全国移动App风险监测评估”作为常态化合作内容，风险监测评估报告每季度发布。

一、全国移动App概况

根据移动互联网系统与应用安全国家工程实验室（以下简称国家工程实验室）、中国信息通信研究院安全研究所（以下简称信通院安全所）和北京智游网安科技有限公司（以下简称爱加密）移动应用大数据平台提供的数据，截止6月底大数据平台共计收录Android应用317万款，其中71%存在高危漏洞威胁，3.40%的App存在恶意行为，31.06%的App嵌入推送类的SDK。

（一）豌豆荚应用数量占总量的8.66%

截止到本季度纳入监测的应用渠道数量总计605个，其中应用数量排名前三的分别是：豌豆荚，共计应用551709款，占总应用数量的8.66%；360市场，共计543205款，占总应用数量的8.52%；pp助手PC端，共计394385款，占总应用数量的6.19%。以下是各渠道应用排行前十的情况：

图1 各渠道应用排行TOP10

（二）71.01%Android应用存在漏洞风险

本次监测过程主要对10类94项风险漏洞进行分析，监测发现71.01%的App存在漏洞风险。存在不同风险等级漏洞的App占比如下：

图2 不同风险等级漏洞的App占比

约317万款Android最新版本应用包通过移动应用安全平台进行风险监测，其中，有高危漏洞的App约223万款，占应用总数的70.56%。本季度排名前三的漏洞分别是：Janus漏洞、Java代码加壳检测、WebView远程代码执行漏洞。详见下图：

图3 漏洞App数量统计图

（三）主要恶意程序风险描述

本季度新增恶意程序的应用12379款，其中恶意程序类型还是以流氓行为为主，这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为，对移动用户的个人信息及财产安全带来巨大的威胁。详见下图：

图4 恶意程序类型统计表

（四）三方SDK应用广泛，数据安全存在隐患

SDK广泛应用在App的设计开发阶段，近期315晚会曝光部分SDK存在违规收集个人信息的情况。监测发现截止六月底，31.06%的App嵌入推送类的SDK，共计应用403818款；19.88%的App嵌入统计类的SDK，共计应用258510款；15.04%的App嵌入社交类的SDK，共计应用195591款。具体详见下图：

图5 不同类型SDK对应的App分布情况

（五）各省份移动应用加固情况相近

从加固App区域分布来看，发达地区App供应商安全意识较强，加固数量最多。

图6 加固App整体分布

经统计，安全加固的省份共计36个，其中安全加固排名前三列的分别是：广东省占总量的27.86%，共计应用62175款；北京市占总量的23.19%，共计应用51759款；湖北省占总量的7.83%，共计应用17478款。以下是前十排名情况：

图7 加固App数量省份占比前十分布

广东以27.86%的市场份额成为汇聚加固App数量最多的省份，与之反向的是香港，澳门成为加固App数量最少的省份。详情如下：

图8 加固App数量占比排名靠后情况

二、全国App行业分布（一）游戏类应用占市场总应用的42.25%

从全国行业分类应用细分领域来看，游戏娱乐性质应用在前三名中占领了第一名的位置，其中，游戏娱乐行业的App占市场应用的42.25%，共计1346097个；生活服务行业的App占市场应用的11.23%，共计357688个；工具软件行业的App占市场应用的10.98%，共计349868个。不同细分领域App占比如下所示：

图9 不同细分领域App数量及占比

（二）其他行业分布情况

排名第4到第10的行业分别是教育、金融、办公商务、社交通讯、文化传媒、旅游交通，以及医疗，总和不超过40%。其中：教育类App共计283766款应用，占总应用的8.91%；金融类App共计239767款应用，占总用的7.53%；办公商务类App共计104365款应用，共计3.28%。详情见下图：

图10 其他行业应用数量

三、教育类App分布概况

教育类App遍布全国各地，有283766款可以根据区域划分规则明确归属地，下列区域分布仅基于这283766款做分析。从大区来看，华南地区App产量位居第一，占App总量的40.94%；其次是华北地区，占总量的22.97%；华东地区位列第三，占总量的19.59%。详见图列：

图11 App大区分布图

从省级区域来看，教育类App广东省应用数量占全国总量的40.58%，位居第一；北京市应用数量占全国总量的18.48%，位居第二；湖南省应用数量占全国总量的4.71%，稳居第三。以下是排名TOP10的情况：

图12应用数量占比TOP10

四、本季度增量情况

本季度Android应用数量共计200856个，从月度上看，本季度的三个月Android应用数量增速4月份环比增长最快，环比增加31.96%，但6月新增应用共计62610款，环比下降12.60%。详见下图：

图13 月度环比增速图

1.应用监测渠道4月增长较快

本季度应用监测新增渠道趋势较平缓，应用新增渠道共计109个，4月份新增16个渠道，5月份新增76个渠道，6月份新增17个渠道。详见下图：

图14 新增渠道情况

2.本季度游戏类增量最多

从应用行业上看，教育类仍是新增应用的主要类别，占新增应用31.51%；医疗卫生类新增数量位列第二，占新增应用15.60%；金融类新增数量位列第三，占新增应用的14.66%。详见下图：

图15 新增应用行业分布图

五、移动应用个人信息安全案例分析

4月27日，国家网信办、发改委等12部门联合发布《网络安全审查办法》，今年6月1日起实施。网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，主要包括产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害等。

（一）某教育应用存在APK被篡改进行二次打包

技术人员通过在APK的主界面中，嵌入提示代码，发现可以对客户端程序添加或修改代码，修改客户端资源图片，配置信息、图标，添加广告，推广自己的产品移动应用安全，再生成新的客户端程序。在APK的主界面中，嵌入提示代码, 详见如下：

添加成功后，回编译、签名，安装在手机上的效果如下：

（二）某应用的验证码可绕过漏洞

技术人员在对某款应用进行反编译时，发现此应用存在可绕过验证码的验证对手机号直接进行修改。详见如下：

经测试，App修改手机号需要验证码进行验证，如下：

通过以下类接口，可直接对手机号进行修改，绕过验证码的验证：xxx.com/IOT_SBS/a/my/userinfo/phoneModify.do

当前手机号：

使用此接口直接进行修改，如下：

修改成功，如下所示：

（三）传输过程中的数据被解密

经检测，发现该App在进行网络传输时，如果使用的是HTTPS SSL加密协议，是否对链路中的SSL加密Cert证书做了合法性的校验checkClientTrusted/checkServerTrusted等函数，以防止传输过程中的数据被解密，从而协议被逆向破解。具体详情如下：

设置代理，抓取数据包的结果如下：

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!