移动应用安全形势的日益严峻。我们见证了恶意软件的猖獗、数据泄露事件的频发以及隐私侵犯问题的严重性,这些不仅威胁到广大个人用户的信息安全,也会对企业的数据资产构成潜在的风险。这些变化无疑为移动应用的开发、分发及运营带来了新的挑战和机遇。为了深入剖析这一复杂且多变的安全环境,爱加密利用在大数据分析和移动安全领域的专业知识,精心编撰了《2024年上半年全国移动应用安全观测报告》。
本报告基于对过去一年全国移动应用安全事件的监测与分析,旨在描绘出移动应用安全的全貌,揭示安全隐患,并对未来的发展趋势进行预测。报告内容涵盖了移动应用渠道分析、全国通报概况、跨境传输分析、应用漏洞风险分析、技术保护措施、政策法规环境等多个维度,力求从多角度全面反映移动应用安全领域的真实情况。本报告分为上下篇于公众号中发布节选片段,可于文末获取完整版。15.9%应用涉嫌存在“将数据传输至境外服务器”,美国连续三年位居第一,且逐年呈现上升趋势。
近6万款应用存在“明文传输”情况,“个人常用设备信息”为主要传输类型。
2024年上半年全国总计通报977款,生活实用类、办公学习类应用占比约48%,监管部门注重民生类应用。
8千余款应用嵌入的境外SDK存在敏感行为。“删除文件”占比82.3%!
2024年上半年人工针对App的个人信息安全合规问题进行抽样性检测,根据《App违法违规收集使用个人信息行为认定方法(国信办秘字〔2019〕191号)》(以下简称《191号文》),发现存在“未明示收集使用个人信息的目的、方式和范围”问题的应用数量最多,占检测总量的58.8%,较之去年增加11.4%。降幅最大的是“未经用户同意收集使用个人信息”,降幅超过了20%。详见下图:App个人信息安全合规问题
1.2.个人信息自动化检测违规情况
2024年上半年移动应用大数据平台针对全国Android应用进行了个人信息合规性抽样检测,总计送检20万+款应用。其中,存在“违规收集个人信息”的占比22.0%,同比去年有所下降;存在“App频繁自启动和关联启动”的占比15.3%也呈现下降趋势;存在“App强制、频繁、过度索取权限”的占比为14.0%,相比前两年呈现上升趋势。开发企业、运营企业作为责任主体应坚持严格自律,而广大用户则需要增强隐私保护意识,不轻易安装来源不明的移动应用。Android应用违规类型分布
1.3.应用申请使用权限情况
从Android应用申请的权限进行分析,其中“申请写入外部存储”的应用最多,占检测应用总量的98.4%;其次是“访问网络”的应用,占应用总量的95.7%;排名第三的是“访问网络信息”的应用,占应用总量的94.5%。大部分应用都需要进行向手机存储一定的数据或文件,也会从手机获取文件及向手机写入文件的权限,但很多应用会借缓存图片之名请求外部存储权限,实际上应用都有自己的单独存储空间,要外部权限就是想获取你的各种文件,比如相册等,只要不影响使用,就不要同意。如果影响使用了再结合实际情况考虑,不要将敏感信息(证件照等)存储在相册等开放区域。下图为各类型权限的详细信息:![]()
对送检的20万+款Android应用的数据传输行为分析,发现涉嫌存在“将数据传输至境外服务器”的移动应用占比15.9%。数据流向多个国家和地区。排名第一的目的地是美国,占比65.5%;排名第二的是中国香港,占比26.3%;排名第三的是日本,占比20.3%。美国连续三年位居第一,且逐年呈现上升趋势。![]()
结合相关移动应用的功能分类来看,涉及数据跨境传输的移动应用中,游戏类应用占该类型检测总量的27.9%,排名第一;生活实用类应用占该类型检测总量的18.0%,排名第二;影音播放类应用占该类型检测总量的11.8%,排名第三。![]()
涉及数据跨境传输Android应用的功能分类TOP10据个人信息合规性检测结果显示,有 的违规情况。从传输个人信息类型进行分析来看:存在“明文传输”的违规应用中传输“个人常用设备信息”的应用占比最高,达到了69.2%。相比前两年传输“个人基本资料”和“网络身份标识信息”降幅较大,传输“个人基本资料”相比去年有小幅降低,随着监管机构对数据安全,特别是个人信息保护的重视,出台严格的数据保护法规,如《中华人民共和国个人信息保护法》等。这些法规明确要求企业对个人数据应采取相应的加密、去标识化等安全技术措施。相关行业组织和机构也制定了数据安全的标准和指南,促进企业遵循规范进行数据传输。同时随着近两年来,加密技术不断发展和成熟,使得加密传输个人资料变得更加便捷和高效。下图为存在明文传输的Android应用中传输个人信息类型详情:![]()
移动应用大数据平台通过对应用的敏感行为分析,共发现近4万款应用存在敏感行为。具体来看,“监听通话状态”这一行为占比最高,为34.5%;排名第二的是“监听定位”,占比31.5%;排名第三的是“获取电话号码”,占比为7.6%。![]()
2024年上半年全国总计通报977款,其中通报Android应用889款,占全国通报应用的91.0%;通报SDK 41款,占全国通报应用的4.2%;通报小程序30款,占全国通报应用的3.1%;通报iOS 17款,占全国通报应用的1.7%。![]()
2024年上半年全国总计通报的应用977款,其中,各地通管局通报应用549款,占全国通报应用的56.2%;工信部通报197款,占全国通报应用的20.2%;各地网信办通报192款,占全国通报应用的19.7%。![]()
根据通报应用所属区域来看,通报重庆市应用数量占总量的17.1%,位居第一;通报山东省应用数量占总量的12.5%,位居第二;通报浙江省应用数量占总量的6.4%,位居第三。下图为全国通报应用区域分布情况:![]()
根据通报应用所属功能分类来看,生活实用类应用通报数量占总量的26.6%,位居第一;办公学习类应用通报数量占总量的21.6%,位居第二;旅游出行类应用通报数量占总量的9.4%,位居第三。与同期对比来看全国通报应用主要集中在日常生活的娱乐、生活和学习方面,监管机构对于民生、学习类应用密切关注,不仅仅是因为这类应用用户基数大,也是因为应用的功能性越来越多样化,用户的权益以及个人隐私数据都需要进行安全保障。下图为全国通报应用功能类型分布情况:![]()
针对全国通报的应用进行个人信息违规类型统计,结果显示,45.3%的应用存在“违规收集个人信息”的情况;25.0%的应用存在“App强制、频繁、过度、索取权限”的情况;19.6%的应用存在“未明示收集使用个人信息的目的、方式和范围”的情况。同期对比来看,总体比去年呈上升趋势,监管机构对于移动应用在个人信息问题方面越发严格,监管的力度也在逐步加强;具体违规详情如下:![]()
近年来总计通报SDK 41款,移动应用大数据平台针对通报的SDK进行了个人信息违规类型统计,结果显示,68.3%的SDK存在“SDK使用说明不完整”、“超范围收集个人信息”的情况;61.0%的SDK存在“违规收集个人信息”的情况。具体违规详情如下:![]()
3.1.嵌入境外SDK应用个人信息自动化检测违规情况根据移动应用大数据平台提供的数据,截至到当前,共计收录境外SDK近5千款,2024年上半年更新的应用中嵌入了境外SDK应用总计4.4万款App,爱加密对其进行了个人信息合规性检测,其中58.6%存在个人信息自动化检测违规情况。这部分存在违规情况的应用中,由SDK引起的违规情况占比为18.8%。![]()
由SDK引起的违规情况中,存在“App未见向用户明示SDK收集使用个人信息的目的、方式和范围,未经用户同意,SDK存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为”的占比31.4%;存在“App向用户明示SDK的收集使用规则,但未见清晰明示SDK收集设备MAC地址、软件安装列表等的目的方式范围,用户同意隐私政策后,SDK存在收集设备MAC地址、软件安装列表的行为”的占比12.0%。![]()
移动应用大数据平台通过对部分境外SDK触发的敏感行为分析,共发现8305款应用嵌入的境外SDK存在敏感行为。具体来看,“删除文件”这一行为占比最高,为82.3%;排名第二的是“读取系统设置”,占比80.0%;排名第三的是“修改文件名”,占比为75.0%。![]()
个人信息安全保护措施
4.1.移动应用个人信息安全分析
根据以上报告个人信息相关数据来看,自2019年至今工信部首次针对移动应用开展专项检查,已达到40批次,由此可见,监管在移动应用针对用户权益这一块的重视,而个人隐私不合规的风险主要体现在多个方面,这些风险不仅关乎用户的个人信息安全,还可能对用户的财产、名誉和日常生活造成严重影响,其中包括隐私泄露、隐私侵犯、隐私滥用和法律责任风险等。
为了降低这些风险,建议用户在使用移动应用时,仔细阅读应用的隐私政策,了解个人信息如何被收集和使用,并谨慎授权应用访问个人信息。同时,应用开发者应严格遵守相关法律法规,加强用户隐私保护意识,采取必要的安全措施保护用户信息的安全和隐私。此外,政府和监管机构也应加强监管和执法力度,打击个人隐私不合规的行为,保护用户的合法权益。由此可见,监管机构也在不断在完善相关法律法规体系,为移动应用的安全保护提供有力的法律保障。
4.2.移动应用的数据安全防护的重要性
近年来,随着《网络安全法》《未成年人网络保护条例》等相关条例的颁布,创建绿色网络环境成为重要目标之一,而构建绿色网络环境是一个综合性的过程,它涉及到多个方面,包括技术、政策、法规、用户教育等。监管需要制定明确的政策和法规,提供法律和政策支持;企业需要加强技术创新和研发,优化产品设计和用户体验,加强监管和审核;用户需要提高安全意识和防范能力,积极参与产品的安全监督和反馈。只有形成多方共治的良好局面,才能推动互联网产品的健康发展。如下建议:
1、建立完善的网络监管体系,加强对网络平台的监管和执法力度,对违法违规的网络行为进行严厉打击,依法追究相关责任人的法律责任
2、建立健全网络安全防护体系,提高网络系统的安全性和稳定性,加强个人信息保护,防止用户隐私泄露和滥用。
3、加强互联网产业内部的协作和合作,共同推动绿色网络环境的建设。
欢迎给我们留言或评论~
我们将持续发布技术解读、解决方案、行业报告
点击关注,不错过下次精彩内容
![]()
