重磅|爱加密发布2020年Q1《全国移动App安全态势研究报告》

本文来源:爱加密123

随着网络信息技术日新月异的发展，移动互联网生态系统日益庞大，移动应用App在为人们提供便捷服务的同时，任意弹出广告、捆绑下载、恶意扣费、隐私窃取、过度索权等各类行为让人防不胜防，各种形式的黑客入侵、恶意程序、安全漏洞导致的安全事件更是层出不穷。

2020年3月6日，《信息安全技术个人信息安全规范》正式发布，加上疫情期间，各类网络办公软件、网络教育软件和网络医疗应用成为关注的热点，用户量都呈现陡增的趋势，与此同时，移动应用关于用户的个人隐私、应用的安全风险问题也越来越突出，需要引起有关部门的重视。作为国内知名的移动应用安全综合服务提供商，爱加密在行业中具有一定的技术领先性和权威性，近日，爱加密重磅发布了2020年第一季度的《全国移动App安全态势研究报告》，以下为详细内容。

随着相关法律法规的出台，移动应用安全建设及合规的必要性与日俱增。然而移动应用安全问题却不容乐观， 目前移动应用安全行业仍存在以下问题： 一是应用运营企业自我防护意识不强，二是第三方SDK的使用尚存监管空白，三是应用中存在的安全漏洞未能及时发现和处理等。 虽然我国从未停止对移动应用的安全治理，但应用法规的贯彻实施，还需要应用运营企业主动承担起保障应用安全的责任，需要监管部门加强应急响应，建立可追溯机制。 只有各方同心协力，才能实现真正意义上的应用安全。

01

全国移动App概况

根据爱加密移动应用安全大数据平台提供的数据，截止3月底大数据中心已收录Android App应用315万+款，iOS应用300万+款。大部分App存在高危漏洞，5.46%的App存在恶意程序， 37% 以上的App存在不同程度的越权和超范围采集等违规行为。

（一）约五成应用分布在广东省

从App分布区域来看，广东省App数量位居第一，约占App总量的49.45%；其次是北京市，约占总量的17.98%；排名第三的是湖北省，约占总量的4.86%。详见图1：

图1 全国应用区域分布图

（二）游戏类App数量最多

游戏类应用数量占总量的32.89%；生活服务类App位居第二，占总量14.73%；教育类App排名第三，占总量的13.59%。详见图2：

图 2 应用类型分布图

（三）十大应用市场包揽近四成App

从应用市场拥有App数量来看，目前监测的App市场有596个，其中应用宝、360市场、豌豆荚占据应用市场排名前三甲。大部分应用分布在大渠道里。详见图3：

图3 应用市场统计图

（四）应用市场区域分布情况

从应用市场公司主体所属区域来看，北京市App应用市场最多，占总量的29.92%，如“360市场”、“百度手机助手”、“小米应用商店”等应用市场的所属公司都在北京市，其次是广东省和湖北省的应用市场公司数量较多，分别占总量的22.80%和16.74%。详见图4：

图4 应用市场区域分布图

02

移动App漏洞概况分析

（一）已完成检测的应用中，存在Janus高危漏洞的App最多

已完成检测的应用中，其中存在Janus高危漏洞的App数量最多，占检测总数的75.57%；其次是SO文件加固风险，占检测总数的68.84%；排在第三位的是Java代码加壳检测，占检测总数的62.70%。详见图5：

图5 高危漏洞统计图

Janus漏洞： 主要威胁是可以绕过了安卓系统的整个安全机制，可以盗取用户的账户、密码等敏感信息，甚至可以植入木马病毒。

SO文件加固检测： SO文件被破解可能导致应用的核心功能代码和算法泄露。攻击者利用核心功能与算法可轻易抓取到客户端的敏感数据，并对其解密，导致用户的隐私泄露或直接财产损失。

Java代码加壳检测： 主要威胁是可能被反编译，易导致代码逻辑泄露、重要数据加密代码逻辑泄露等。

（二）游戏类App漏洞数量最多

从App类别来看，游戏存在高危漏洞的应用数量最多，占高危漏洞应用总量的33.05%，其次是生活服务类，占比为14.40%，详见图6：

图6 高危漏洞应用类型分布图

（三）高危漏洞的App数量区域占比

从漏洞的区域分布来看，北上广仍是漏洞应用数量最多的区域，其中广东省存在漏洞应用数量占总量的43.13%，排名第二的是北京市，占总量的20.13%，排名第三的是上海市，占总量的7.62%。详见图7：

图7 漏洞区域分布情况

03

移动App恶意概况分析

（一）每100个应用中至少有5个应用存在恶意程序

通过爱加密移动应用安全大数据平台的恶意程序检测引擎检测发现，截止目前，已完成恶意检测的App中有 17.24万 款App存在病毒，恶意率高达5.46%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为，对移动用户的个人信息及财产安全带来巨大的威胁。

（二）约九成的恶意程序存在流氓行为

从恶意类型上看，恶意类型以流氓行为为主，这些恶意程序主要存在对用户的隐私信息收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为，对移动用户的个人信息及财产安全带来巨大的威胁。详见图8：

图8 恶意类型统计表

（三）恶意App区域分布

从恶意App分布区域来看，广东省位居第一，占恶意App总量63.51%，其次是北京市，占恶意App总量11.66%，排在第三位的是湖北省，占恶意App总量5.48%。详见图9：

图9 病毒区域分布图

（四）应用商店存在恶意App

本次对来自596个应用商店的应用进行检测发现，多达457家应用商店都存在恶意程序App，这其中包括有大量用户及下载量的主流应用商店，且大渠道由于应用数量较多，存在恶意应用数量也较多。此外需要引起关注的是，一些非主流渠道，虽App总量不多但存在恶意程序的App占比较高。详见图10。

图10 收录恶意App占比TOP10

04

App嵌入SDK概况分析

App运营者为了节约开发成本、提高工作效率，一般都会使用多种第三方的SDK。而第三方的SDK开发侧重于功能性的完善，在安全性方面的投入较少，导致App使用第三方的SDK存在一些安全问题。29.46%的应用嵌入了SDK，其中近5成都是框架类型的SDK。

（一）游戏类嵌入SDK的应用数量最多

从嵌入第三方SDK的App所处行业类型来看，游戏类应用嵌入SDK的App数量最多，占比为23.85%，其次是生活服务类应用，有占比为18.16%；位列第三的是教育类应用，占比为15.46%。 详见图11：

图11 各类型应用嵌入SDK占比情况

（二）嵌入SDK的应用近三成来自广东

从嵌入第三方SDK的App所处区域来看，广东省嵌入SDK的应用数量最多，占嵌入SDK应用数量28.79%，其次是北京市的应用，占比为23.01%；位列第三的是上海市的应用，占比为11.47%。详见图12：

图12 各区域应用嵌入SDK占比情况

05

移动应用安全加固 意识亟待提高

随着移动端黑产的日益壮大，其逆向攻击手段也越发高明。App进行安全加固可有效阻止反汇编分析，防止被破解、二次打包、恶意篡改等，是维护App安全的重要防护手段。通过爱加密移动应用安全大数据平台检测发现， 仅有三成左右的App加固等级较高，仍有七成的App未进行过安全加固或者 加固等级较低。

（一）发达城市App运营者安全意识强

通过对加固应用区域进行统计发现，北上广一线城市的应用加固数量较多，尤其是广东省和北京市，近半的加固应用都来自这两个区域。详见图13：

图13 加固应用区域分布图

（二）金融行业的App运营者安全意识最强

通过对加固应用行业进行统计发现，金融行业的App加固率最高，26.86%的金融应用都进行过安全加固，其次是医疗类App，加固率为25.72%，详见图14：

图14 加固应用行业占比情况

06

移动应用高危风险案例分析



（一）不可忽视的二次打包安全

应用包篡改后二次打包不仅严重威胁应用开发者的版权和经济利益，而且也使App用户遭受到不法应用的恶意侵害。对客户端程序添加或修改代码，修改客户端资源图片，配置信息、图标，添加广告，推广自己的产品，再生成新的客户端程序，可导致大量 盗版应用 的出现，减少正版开发者的收入；恶意的二次打包还能实现应用钓鱼、添加病毒代码、添加恶意代码，从而窃取登录账号密码、支付密码，拦截验证码短信，修改转账目标账号、金额等。

案例： 这是某即时通讯的App，经过测试人员修改后，可以在应用的主界面中，嵌入提示信息。

添加成功后，回编译、签名，安装在手机上的效果如下：

图15 嵌入成功后软件截图

安全专家的修复建议：

1.通过第三方加固或开发者自行对应用包的源代码进行隐藏，防止查看修改。

2.程序运行时对应用包的MD5值进行合法性校验，发现盗版就异常退出。

（二）任意发送短信，小心短信炸弹

技术人员在对某疫情查控系统做检测时，发现此款App存在无限发送验证码短信的高危漏洞，这可能导致用户遭受短信的骚扰，具体内容如下：

1.设置代理，使用抓包工具抓取获取验证码的数据包；

2.使用抓包工具的重发功能，将数据包进行重发

观察服务器返回信息或者查看手机短信，连续调用短信接口200多次对不同手机号发送短信成功，存在 恶意调用 接口 发送短信的风险，造成短信发送平台花费大量的短信费用，且易造成骚扰短信，影响用户的正常生活。

（三）个人隐私风险

移动应用涵盖用户大量个人隐私性数据，一旦发生泄漏可能对个人、社会造成重大影响，同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用应该有效的保障用户的账号密码和个人信息数据安全，保护用户的个人隐私。如何保障移动应用的数据安全和数据隐私，成为了国内外移动应用安全技术亟待解决的问题。

案例： 在对某直播类应用进行检测时，发现该应用存在获取用户短信信息、手机通讯录及地理位置等敏感信息行为。

通过对其收集短信信息服务器进行破解，获取到其收集大量用户短信内容的证据：

因此，随着国家与个人层面的信息安全威胁不断提升，移动应用安全必将成为安全领域中长期重点关注的话题。国家法规政策的密集落地，一方面，提高了政府、企业对网络信息安全的合规要求，另一方面，也促进了我国网络安全防护水平的进一步提升。移动信息安全，作为信创产业中关键的一部分，将不断支撑、推动新兴技术的稳步前进。 爱加密，也将始终以创新发展为宗旨，致力于构建数据驱动的移动互联网、物联网和工业互联网的泛在应用安全防护生态体系，不断升级、完善，推动信创产业的发展。

标签： 移动安全