2023年我国移动应用安全态势观察：76%的Android应用或存在高危级风险隐患

随着智能手机和平板电脑等移动设备用户数量的剧增，移动应用的数量和种类亦在不断膨胀，加速了数字化转型的步伐。然而，伴随着这一增长的是移动应用安全形势的日益严峻。我们见证了恶意软件的猖獗、数据泄露事件的频发以及隐私侵犯问题的严重性，这些不仅威胁到广大个人用户的信息安全，也会对企业的数据资产构成潜在的风险。

为了深入剖析复杂且多变的安全环境，并为相关监管机构、企业、开发者提供参考， 中国电信研究院和爱加密日前 联合编撰发布了《2023年全国移动应用安全观测报告》。报告数据显示：截至2023年12月31日，全国共有351万款Android应用通过移动应用安全平台进行风险检测，其中存在高危级漏洞的应用约239万款，占应用总数的76.89%，移动应用安全问题不容忽视。

全国移动互联网应用概况

全国移动互联网应用总量综合情况

截至2023年，移动应用安全大数据平台收录全国Android应用共计453万款，iOS应用共计295万款，微信公众号621万个，微信小程序360万个。2023年年度，全国总计更新及新上架的应用共计27万款。

近三年全国总量综合情况（单位：万）

全国活跃移动互联网应用功能类型分布情况

截至到2023年12月31日，全国活跃应用总计7万款。从功能类型来看，游戏类应用活跃度较高，占全国活跃应用总量的27%，位居第一，近三年对比，游戏应用远低于以往两年；生活实用类应用数量占全国活跃应用的16%，位居第二；办公学习类应用数量占全国活跃应用的12%，位居第三。

全国活跃应用功能分类情况

漏洞风险概况

各等级风险漏洞情况

移动应用大数据平台利用安全检测引擎对有更新的应用，进行140项漏洞扫描。检查结果显示：有高达76.89%的应用被识别为高危应用。这个比例相比于过去两年有了2.02%的小幅增长。数据表明，尽管我们在技术和安全措施上有所进步，但高危漏洞在移动互联网应用中的存在仍然是一个严重的问题，因为它意味着我们的个人信息、财务信息和其他重要数据可能会因为这些漏洞而受到威胁。

Android应用不同风险等级漏洞的应用占比

各风险漏洞类型应用排行情况

截至2023年12月31日，全国351万款Android应用通过移动应用安全平台进行风险检测，有高危漏洞的应用约239万款，占应用总数的76.89%。

本年度排名前三的漏洞分别是：“Janus漏洞”、“截屏攻击风险”、“未移除有风险的WebView系统隐藏接口漏洞”。

存在漏洞较多的移动应用更加容易受到攻击，造成用户隐私泄露或直接的财产损失，应用运营者/开发者应采取安全加固等有效措施，防范和应对网络攻击，保障系统安全平稳运行。详见下图：

Android应用漏洞类型排行

各功能类型存在高危风险漏洞的应用排行情况

我们发现某些类型的应用存在高危漏洞的风险特别高。具体来看，主题壁纸类应用其存在高危漏洞的应用数量占到了我们检测总量的92.0%，紧随其后的是拍摄美化类应用，存在高危漏洞的应用数量占检测总量的88.4%。第三名是系统工具类应用，高危漏洞的应用数量占检测总量的86.9%。

与过去两年的数据相比，2023年移动应用存在的高危漏洞比例总体上超过了80%，这一趋势表明移动应用的安全问题仍然十分严峻。当移动应用存在漏洞时，它们很可能成为攻击者的目标。攻击者可以利用这些漏洞进行恶意攻击，不仅可能导致用户数据的泄露，还可能篡改数据，给用户带来严重的隐私和财产损失。

存在高危漏洞风险的应用功能类型占比TOP10

植入恶意程序情况概况

近年来，移动互联网应用植入恶意程序的情况近年来呈现出增长的趋势，这些恶意程序可能会窃取用户的个人信息、破坏系统、恶意扣费、弹出广告等，对移动用户的个人信息及财产安全带来巨大的威胁。

主要恶意程序风险描述

截至2023年12月，全国累计含有恶意程序的应用29万款，其中恶意程序类型以“流氓行为”为主，这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为，对移动用户的个人信息及财产安全带来巨大的威胁。详见下图：

恶意程序类型统计表

恶意应用功能类型分布情况

从功能类型来看，游戏应用类存在恶意应用的数量占全国恶意应用总量的49.66%，位居第一，远超其他类型应用。这类恶意软件可能会以广告软件的形式出现，通过弹窗广告干扰用户，或者更糟糕的是，利用用户浏览器的漏洞进行偷渡式下载，安装恶意程序到用户的设备上，模仿流行游戏的恶意软件和不需要的软件；详情见下图：

恶意应用功能类型分布TOP10

盗版/仿冒情况分析

仿冒盗版应用的猖獗会危害正版软件市场的发展和创新，给真正的开发运营者带来名誉及利益损害。2023年，中国信息通信研究院推行App签名服务系统，用户可以通过应用签名和验证识别正版应用，从而避免下载和使用未经认证的应用可能带来的风险。

盗版/仿冒应用功能类型分布情况

针对有更新的应用进行盗版/仿冒检测，检测结果统计显示疑似盗版仿冒的应用共计14万款，从应用功能类型分布来看，排名前三的功能类型为：游戏类、生活实用类、影音播放类。

盗版/仿冒应用功能类型分布TOP10

技术安全保护措施

未采取技术安全保护措施的应用占比情况

对全国移动应用中未采取技术安全保护措施的应用（即未加固应用）情况进行统计，已采取技术安全保护措施的应用总计40万款，占8.94%，未采取技术安全保护措施的应用占总量的91.06%。应用如果不进行技术安全保护措施会无法确保应用安全，无法防止被破解、二次打包、恶意篡改等。近三年未采取技术安全保护措施的应用占比变化如下：

近三年未采取技术安全保护措施的应用占比

建议开发者、服务提供商以及相关政策制定者加强对移动应用安全性的关注。特别是对于未采取安全措施的应用，应进行详细的风险评估，并采取适当的安全加固措施。此外，用户也应提高对应用安全性的认识，选择那些已采取安全措施的应用进行下载和使用。

未采取技术安全保护措施的应用功能类型分布情况

通过对未采取技术安全保护措施的应用功能类型进行统计发现，游戏类未采取技术安全保护措施应用占该类型应用总量的91.64%，排名第一。游戏类应用通常涉及用户的互动和虚拟财产交易，如果没有适当的安全措施，它们容易成为黑客攻击的目标。黑客可以通过植入恶意代码来窃取用户数据，或者通过篡改游戏内的支付渠道来实施诈骗。此外，未经授权的第三方也可能通过插入广告代码来篡改游戏内容，不仅损害了玩家的游戏体验，也侵蚀了开发者的收益。详见下图：

未采取技术安全保护措施应用功能类型分布TOP10

个人信息保护方面情况概述

个人信息人工深度检测违规情况

2023年人工针对App的个人信息安全合规问题进行抽样性检测，根据《App违法违规收集使用个人信息行为认定方法（国信办秘字〔2019〕191号）》（以下简称《191号文》），发现存在“未经用户同意收集使用个人信息”问题的应用数量最多，占检测总量的52.45%，较之去年下降14.44%。详见下图：

App个人信息安全合规问题

个人信息自动化检测违规情况

2023年移动应用大数据平台针对全国Android应用进行了个人信息合规性抽样检测，总计送检15万+款应用。其中，存在“App频繁自启动和关联启动”的占比21.98%，该检测项监控的范围由原先的16个广播，增加到了211个广播，监控的范围更广，检测出的自启动行为更多，远超于同期检测结果；存在“超范围收集个人信息”的占比19.30%；存在“违规收集个人信息”的占比为12.14%，同期对比持下降状态。

Android应用违规类型分布

数据跨境传输目的地分布情况

对送检的15万+款Android应用的数据传输行为分析，发现涉嫌存在“将数据传输至境外服务器”的移动应用占比13.53%。数据流向多个国家和地区。排名第一的目的地是美国，占比47.42%,连续三年位居第一；排名第二的是中国香港，占比36.73%；排名第三的是新加坡，占比23.27%。

Android应用数据跨境传输目的地TOP10

结合相关移动应用的功能分类来看，涉及数据跨境传输的移动应用中，游戏类应用占该类型检测总量的47.57%，排名第一。

涉及数据跨境传输Android应用的功能分类TOP10

数据明文传输类型情况

据个人信息合规性检测结果显示，有3万余款Android应用存在“明文传输”的违规情况。从传输个人信息类型进行分析来看：存在“明文传输”的违规应用中传输“个人常用设备信息”的应用占比最高，达到了67.0%；

用户的个人信息在信息传输过程中造成个人信息泄漏，建议有关机构督促开发者针对“传输”做到加密处理。下图为存在明文传输的Android应用中传输个人信息类型详情：

Android应用传输个人信息类型

境外SDK及嵌入境外SDK应用情况分析

根据移动应用大数据平台提供的数据，截至到当前，共计收录境外SDK 4000余款，嵌入了境外SDK应用约5.3万款。爱加密对5.3万款应用进行了个人信息合规性检测，其中55.21%存在个人信息自动化检测违规情况。这部分存在违规情况的应用中，由SDK引起的违规情况占比为24.09%。

嵌入境外SDK应用个人信息自动化检测违规情况

嵌入境外SDK应用个人信息违规类型分析

从个人信息自动化检测结果来进行分析，存在“App频繁自启动和关联启动”的占比36.46%

个人信息违规类型分布

应用敏感行为情况

移动应用大数据平台通过对部分境外SDK触发的敏感行为分析，共发现54418款应用嵌入的境外SDK存在敏感行为。具体来看，“监听通话状态”这一行为占比最高，为48.2%；排名第二的是“监听定位”，占比40.7%；排名第三的是“获取电话号码”，占比为23.9%。

Android应用敏感行为类型

全国通报应用概况

通报应用总量综合情况

2023年全国总计通报1890款，其中，通报Android应用1702款，占全国通报应用的90.05%；

个人信息违规通报资产分布

通报应用功能类型分布情况

根据通报应用所属功能分类来看，生活实用类应用通报数量占总量的21.09%，位居第一；全国通报应用主要集中在日常生活的娱乐、生活和学习方面。下图为全国通报应用功能类型分布情况：

通报应用功能分类分布TOP10

通报个人信息问题类型分布情况

针对全国通报的应用进行个人信息违规类型统计，结果显示，47.06%的应用存在“违规收集个人信息”的情况；29.91%的应用存在“App强制、频繁、过度、索取权限”的情况；13.51%的应用存在“App频繁自启动和关联启动”的情况。同期对比来看，总体比去年呈上升趋势，监管机构对于移动应用在个人信息问题方面越发严格，监管的力度也在逐步加强；具体违规详情如下：

个人信息违规类型分布TOP10

近年来总计通报SDK 56款，移动应用大数据平针对通报的SDK进行了个人信息违规类型统计，结果显示，68.29%的SDK存在“超范围收集个人信息”的情况；34.15%的SDK存在“收集个人信息明示、告知不到位”的情况。具体违规详情如下：

SDK的通报问题分析

个人信息安全保护措施

移动应用个人隐私安全调研分析

根据移动应用大数据平提供的用户检测数据，我们对近5万位自愿提交手机安装App情况的用户进行了采样分析。结果显示，在排除手机出厂预装的应用App后，普通用户通常下载的App平均数量为49个，其中存在问题的App平均数量为18个，问题App占比达到38.78%。其中，生活服务类占比25.32%，位居第一；游戏类占比为23.7%，位居第二，排列第三都是电商购物类，占比19.8%。

用户安装应用的功能类型占比TOP4

通过大数据分析用户手机App上存在的问题类型，结果显示：

1、27.5%的App存在索取敏感权限的问题，在日常使用中，很多App可能会索取一些它们并不需要的权限，如视频类App会要求读取运动数据、资讯类App则会要求开启相机和麦克风录音权限等。

2、38%的App存在违规收集个人信息的问题，而这些问题包括非法获取、超范围收集（占比最大）、过度索权等。

3、66%的App存在中高风险的漏洞问题，这可能会使用户的设备受到攻击。某些特定类型的漏洞在Android应用中非常普遍，例如Janus漏洞、Java代码加壳检测、WebView远程代码执行漏洞等。据观测，高风险漏洞问题中出现最多的是游戏娱乐类的App。

4、2.5%的App会存在疑似盗版或恶意程序问题，随着监管法规的完善及检测技术的发展，目前正规下载渠道中出现盗版或恶意程序的情况是比较少见的，主要集中在第三方应用商店，尤其是那些小型的、不太知名的平台。

本文仅摘选《2023全国移动应用安全观测报告》部分内容，点击左下方的阅读原文，可申请免费获得本报告全文。