平均每台手机存有18个问题APP!《2023年全国移动应用安全观测报告》发布


前言

为了深入剖析复杂且多变的安全环境,并为所有监管机构、企业、开发者提供参考,爱加密公司和中国电信研究院依托其专业的技术团队,利用在大数据分析和移动安全领域的专业知识,精心编撰了《2023年全国移动应用安全观测报告》。

报告全文较长,已分为2篇文章发布,文末可获取全文。

个人信息保护方面情况概述

个人信息人工深度检测违规情况

2023年人工针对App的个人信息安全合规问题进行抽样性检测,根据《App违法违规收集使用个人信息行为认定方法(国信办秘字〔2019〕191号)》(以下简称《191号文》),发现存在“未经用户同意收集使用个人信息”问题的应用数量最多,占检测总量的52.45%,较之2022年下降14.44%。详见下图:

App个人信息安全合规问题

个人信息自动化检测违规情况

2023年移动应用大数据平台针对全国Android应用进行了个人信息合规性抽样检测,总计送检15万+款应用。其中,存在“App频繁自启动和关联启动”的占比21.98%,该检测项监控的范围由原先的16个广播,增加到了211个广播,监控的范围更广,检测出的自启动行为更多,远超于同期检测结果;存在“超范围收集个人信息”的占比19.30%;存在“违规收集个人信息”的占比为12.14%,同期对比持下降状态。

Android应用违规类型分布

数据跨境传输目的地分布情况

对送检的15万+款Android应用的数据传输行为分析,发现涉嫌存在“将数据传输至境外服务器”的移动应用占比13.53%。数据流向多个国家和地区。排名第一的目的地是美国,占比47.42%,连续三年位居第一;排名第二的是中国香港,占比36.73%;排名第三的是新加坡,占比23.27%。

Android应用数据跨境传输目的地TOP10

结合相关移动应用的功能分类来看,涉及数据跨境传输的移动应用中,游戏类应用占该类型检测总量的47.57%,排名第一。

涉及数据跨境传输Android应用的功能分类TOP10

数据明文传输类型情况

据个人信息合规性检测结果显示,有3万余款Android应用存在“明文传输”的违规情况。从传输个人信息类型进行分析来看:存在“明文传输”的违规应用中传输“个人常用设备信息”的应用占比最高,达到了67.0%;

用户的个人信息在信息传输过程中造成个人信息泄漏,建议有关机构督促开发者针对“传输”做到加密处理。下图为存在明文传输的Android应用中传输个人信息类型详情:

Android应用传输个人信息类型

境外SDK及嵌入境外SDK应用情况分析

根据移动应用大数据平台提供的数据,截至到当前,共计收录境外SDK 4000余款,嵌入了境外SDK应用约5.3万款。爱加密对5.3万款应用进行了个人信息合规性检测,其中55.21%存在个人信息自动化检测违规情况。这部分存在违规情况的应用中,由SDK引起的违规情况占比为24.09%。

嵌入境外SDK应用个人信息自动化检测违规情况

嵌入境外SDK应用个人信息违规类型分析

从个人信息自动化检测结果来进行分析,存在“App频繁自启动和关联启动”的占比36.46%

个人信息违规类型分布

应用敏感行为情况

移动应用大数据平台通过对部分境外SDK触发的敏感行为分析,共发现54418款应用嵌入的境外SDK存在敏感行为。具体来看,“监听通话状态”这一行为占比最高,为48.2%;排名第二的是“监听定位”,占比40.7%;排名第三的是“获取电话号码”,占比为23.9%。

Android应用敏感行为类型

全国通报应用概况

通报应用总量综合情况

2023年全国总计通报1890款,其中,通报Android应用1702款,占全国通报应用的90.05%;

个人信息违规通报资产分布

通报应用功能类型分布情况

根据通报应用所属功能分类来看,生活实用类应用通报数量占总量的21.09%,位居第一;全国通报应用主要集中在日常生活的娱乐、生活和学习方面。下图为全国通报应用功能类型分布情况:

通报应用功能分类分布TOP10

通报个人信息问题类型分布情况

针对全国通报的应用进行个人信息违规类型统计,结果显示,47.06%的应用存在“违规收集个人信息”的情况;29.91%的应用存在“App强制、频繁、过度、索取权限”的情况;13.51%的应用存在“App频繁自启动和关联启动”的情况。总体比去年呈上升趋势,监管机构对于移动应用在个人信息问题方面越发重视,监管的力度也在逐步加强;具体违规详情如下:

个人信息违规类型分布TOP10

近年来总计通报SDK 56款,移动应用大数据平台针对通报的SDK进行了个人信息违规类型统计,结果显示,68.29%的SDK存在“超范围收集个人信息”的情况;34.15%的SDK存在“收集个人信息明示、告知不到位”的情况。具体违规详情如下:

SDK的通报问题分析

个人信息安全保护措施

移动应用个人隐私安全调研分析

根据移动应用大数据平台提供的用户检测数据,我们对近5万位自愿提交手机安装App情况的用户进行了采样分析。结果显示,在排除手机出厂预装的应用App后,普通用户通常下载的App平均数量为49个,其中存在问题的App平均数量为18个,问题App占比达到38.78%。其中,生活服务类占比25.32%,位居第一;游戏类占比为23.7%,位居第二,排列第三的是电商购物类,占比19.8%。

用户安装应用的功能类型占比TOP4

通过大数据分析用户手机App上存在的问题类型,结果显示:

1、27.5%的App存在索取敏感权限的问题,在日常使用中,很多App可能会索取一些它们并不需要的权限,如视频类App会要求读取运动数据、资讯类App则会要求开启相机和麦克风录音权限等。

2、38%的App存在违规收集个人信息的问题,而这些问题包括非法获取、超范围收集(占比最大)、过度索权等。

3、66%的App存在中高风险的漏洞问题,这可能会使用户的设备受到攻击。某些特定类型的漏洞在Android应用中非常普遍,例如Janus漏洞、Java代码加壳检测、WebView远程代码执行漏洞等。据观测,高风险漏洞问题中出现最多的是游戏娱乐类的App。

4、2.5%的App会存在疑似盗版或恶意程序问题,随着监管法规的完善及检测技术的发展,目前正规下载渠道中出现盗版或恶意程序的情况是比较少见的,主要集中在第三方应用商店,尤其是那些小型的、不太知名的平台。

移动应用的数据安全防护的重要性

在数字化时代,个人信息被大量收集和存储,如果数据安全得不到保障,个人隐私就可能被泄露,导致严重的后果,如身份盗窃、诈骗等,数据安全的重要性不容忽视,需要个人、企业、政府等多方共同努力,采取有效措施来保障数据安全。

爱加密长期关注移动应用个人信息安全,可提供专业的移动应用个人信息安全检测、移动应用个人信息安全合规评估服务。可帮助应用开发企业在应用发布前评估个人信息的安全性和合规性,从源头上降低被监管机构通报的风险。爱加密可出具专业的个人信息测评报告,助力企业提升个人信息安全合规能力。

爱加密个人信息安全检测采用人工智能自动化遍历工具,通过大量的应用数据训练,包括但不限于用户高频使用的移动应用、移动端游戏和不同类型应用,不断提升自动化遍历的覆盖能力,为自动化合规检测准确率保驾护航。其与手动测试相比,可以大幅提高测试效率和质量,可模拟移动应用真实运行场景,快速全自动生成报告。爱加密自研自动化遍历方案并适配小程序运行,实现微信和支付宝小程序在真实手机环境及用户账号运行做自动化检测,极大提高准确性。

基于独立自研的沙箱系统,可监测APP在运行过程中的高达100+种行为,包括读取文件、写入文件、获取应用进程、读取系统配置等行为。通过行为函数调用栈对行为主体进行分析,过滤APP或SDK行为,针对性排查违规行为主体,定位行为触发的代码位置。

本文仅摘选《2023全国移动应用安全观测报告》部分内容

关注公众号

回复“观测报告”,可免费获得本报告全文。

前一篇向内存安全语言迁移的五大挑战
后一篇开源噩梦:GitHub一年泄露上千万密钥