移动应用安全形势的日益严峻。我们见证了恶意软件的猖獗、数据泄露事件的频发以及隐私侵犯问题的严重性,这些不仅威胁到广大个人用户的信息安全,也会对企业的数据资产构成潜在的风险。这些变化无疑为移动应用的开发、分发及运营带来了新的挑战和机遇。为了深入剖析这一复杂且多变的安全环境,爱加密利用在大数据分析和移动安全领域的专业知识,精心编撰了《2024年上半年全国移动应用安全观测报告》。
本报告基于对过去一年全国移动应用安全事件的监测与分析,旨在描绘出移动应用安全的全貌,揭示安全隐患,并对未来的发展趋势进行预测。报告内容涵盖了移动应用渠道分析、全国通报概况、跨境传输分析、应用漏洞风险分析、技术保护措施、政策法规环境等多个维度,力求从多角度全面反映移动应用安全领域的真实情况。本报告将上下篇于公众号中发布节选片段,可于文末获取完整版。本文核心观点:
2024年上半年全国总计新更新、新上架的应用共计15万款;
主题壁纸类应用存在高危漏洞的风险极高,较往年增长明显;
流量渠道中涉赌类应用以游戏类为主,涉黄类应用以直播视频或漫画类应用为主
截至2024年上半年,移动应用安全大数据平台收录全国Android应用共计467万款,iOS应用共计308万款,微信公众号623万个,微信小程序363万个。近年来Android应用新增幅度有所减缓,小程序增幅较大。2024年上半年,全国总计新更新、新上架的应用共计15万款。截至到2024年上半年,全国活跃应用总计10万款。从功能类型来看,游戏类应用活跃度较高,占全国活跃应用总量的50.8%,位居第一。相比前两年,游戏类应用活跃度有所下降,但仍然占据活跃应用的一半,生活实用类应用活跃度呈上升趋势。生活实用类应用包含美食娱乐、智能穿戴、汽车、房产家居等;办公学习类应用包含企业办公、云盘存储、邮箱、翻译等;影音播放类应用包含在线音乐、视频、铃声、直播、K歌等;系统工具类应用包含优化、安全、浏览器、输入法、WiFi、文件管理等。
![]()
移动应用大数据平台安全利用安全检测引擎对有更新的应用,进行140项漏洞扫描。检查结果显示:有高达76.9%的应用被识别为高危应用。这个比例相比于过去两年有了4.1%的小幅增长。这个数据表明,尽管我们在技术和安全措施上有所进步,但是高危漏洞在移动互联网应用中的存在仍然是一个严重的问题,因为它意味着我们的个人信息、财务信息和其他重要数据可能会因为这些漏洞而受到威胁。截至2024年上半年,全国343万款Android应用通过移动应用安全平台进行风险检测,其中,有高危漏洞的应用约248万款,占应用总数的76.9%。本年度排名前三的漏洞分别是:“Janus漏洞”、“截屏攻击风险”、“未移除有风险的WebView系统隐藏接口漏洞”。存在漏洞较多的移动应用更加容易受到攻击,造成用户隐私泄露或直接的财产损失,应用运营者/开发者应采取安全加固等有效措施,防范和应对网络攻击,保障系统安全平稳运行。详见下图:![]()
相较于去年同期数据,TOP10漏洞均为下降的趋势,在新的安全技术和工具的不断涌现,不仅更高效地检测,也能尽快修复漏洞,同时也可以看出监管机构对于移动应用安全的监管力度加大,有效的提高了移动应用的安全性,但是,我们也不能掉以轻心,目前仍有大量App未采取有效的安全措施,需要监管机构和开发、运用者共同努力来加强安全防护和漏洞修复工作。在对移动应用进行安全性检测时,我们发现某些类型的应用存在高危漏洞的风险特别高。具体来看,主题壁纸类应用在这方面的问题尤为突出,其存在高危漏洞的应用数量占到了我们检测总量的92.0%,这一比例在所有功能类型中是最高的。与过去两年的数据相比,2024年上半年移动应用存在的高危漏洞比例总体上超过了2.06%,这一趋势表明移动应用的安全问题仍然十分严峻。当移动应用存在漏洞时,它们很可能成为攻击者的目标。攻击者可以利用这些漏洞进行恶意攻击,不仅可能导致用户数据的泄露,还可能篡改数据,给用户带来严重的隐私和财产损失。爱加密通过与监管机构合作,对部分区域的流量数据进行收录分析,总计收录应用约10万款。其中有2万余款应用仅在流量渠道传播,未在正规应用商店上架,占流量渠道总应用的24.5%。这种仅在流量渠道传播的应用,没有经过正规应用商店的审核和监管,应用可能存在违反法律法规、侵犯用户权益等行为。用户也难以确定应用的来源和安全性,更容易下载到包含恶意代码或存在安全漏洞的应用,导致隐私泄露、设备受损等问题。针对上半年收录的流量渠道应用进行盗版/仿冒检测,检测结果统计显示疑似盗版仿冒的应用3648款,从应用功能类型分布来看,排名前三的功能类型为:影音播放类、游戏类、系统工具类。![]()
爱加密通过对流量渠道发现的部分应用进行内容违规检测,其中发现涉黄的应用812款,涉赌的应用398款。涉赌类应用往往涉及彩票或者棋牌游戏等应用,而涉黄类应用多为影音播放中的直播视频或者资讯阅读中的漫画类应用。通过对这部分应用的访问ip归属地分析(同一应用可能访问多个ip)。从境内来看,访问ip归属华中地区的应用最多,占比为32.5%,其次是华东地区,占比为28.6%;从访问境外ip来看,相比常规应用商店采集的应用,流量渠道发现的涉黄涉赌应用访问境外ip的比例明显更高,达到了45.6%,可能存在较高的风险。其中,ip访问归属美国的应用最多,占比为21.8%,其次是中国香港,占比为17.1%,排名第三的是中国台湾,占比为5.2%。以下为境外区域详情分布:![]()
近年来,移动互联网应用植入恶意程序的情况近年来呈现出增长的趋势,这些恶意程序可能会窃取用户的个人信息、破坏系统、恶意扣费、弹出广告等,对移动用户的个人信息及财产安全带来巨大的威胁。截至2024年上半年,全国累计含有恶意程序的应用29万款,其中恶意程序类型以“流氓行为”为主,“流氓行为”应用通常会绑定广告插件,会在用户未授权的情况下,弹出广告窗口等。这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。详见下图:从功能类型来看,游戏应用类存在恶意应用的数量占全国恶意应用总量的44.0%,位居第一,远远超过其它类型,需要加强对这类恶意应用的排查。这类恶意软件可能会以广告软件的形式出现,通过弹窗广告干扰用户,或者更糟糕的是,利用用户浏览器的漏洞进行偷渡式下载,安装恶意程序到用户的设备上,模仿流行游戏的恶意软件和不需要的软件;详情见下图:对全国移动应用中未采取技术安全保护措施的应用(即未加固应用)情况进行统计,已采取技术安全保护措施的应用总计41万款,占8.9%,未采取技术安全保护措施的应用占总量的91.1%。应用如果不进行技术安全保护措施会无法确保应用安全,无法防止被破解、二次打包、恶意篡改等。近三年未采取技术安全保护措施的应用占比变化如下:尽管有一小部分应用已经采取了某种形式的技术安全保护措施,但绝大部分应用仍然没有采取任何安全措施。这一趋势在所研究的三年内基本保持稳定,且未采取措施的应用比例略有上升。因此,建议开发者、服务提供商以及相关政策制定者加强对移动应用安全性的关注。特别是对于未采取安全措施的应用,应进行详细的风险评估,并采取适当的安全加固措施。此外,用户也应提高对应用安全性的认识,选择那些已采取安全措施的应用进行下载和使用。总之,虽然目前大部分应用尚未采取技术安全保护措施,但通过持续的努力和合作,我们可以提高整个移动应用市场的安全性,保护用户的隐私和数据安全。5.2.未采取技术安全保护措施的应用功能类型分布情况通过对未采取技术安全保护措施的应用功能类型进行统计发现,主题壁纸类未采取技术安全保护措施应用占该类型应用总量的89.0%,排名第一。在各功能类型中,主题壁纸类应用未采取技术安全保护措施占比最高。此外,未经授权的第三方也可能通过插入广告代码来篡改游戏内容,不仅损害了玩家的游戏体验,也侵蚀了开发者的收益。详见下图:爱加密移动应用安全加固平台可为开发者提供全面的移动应用安全加固技术,包括Android应用加固、iOS加固、游戏应用加固、H5文件加固、微信小程序加固、SDK加固和源对源混淆加固技术等技术,从根本上解决移动应用的安全缺陷和风险,使加固后的移动应用具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力。加固包增量小:加密后包增量大小不超过原包“±5%”。兼容性好:加固包兼容性高达99%,实现ART全面兼容。全面的移动应用安全加固技术:支持Android应用加固、iOS应用加固、游戏应用加固、H5文件加固、Android SDK加固、so文件加固。高效的性能,节约时间:应用加固时间短,可即时获取加固后的应用。无人工操作,节约成本:全自动一键操作,无需专业的安全技术人员参与,大幅降低人力开销及技术学习成本。![]()
本文仅摘选《2024年上半年全国移动应用安全观测报告》部分内容
![]()
