第一章 移动互联网应用概况
2022年,各监管部门持续推进App侵害用户权益专项整治行动,加大了常态化检查力度,针对App超范围、高频次违规索权,如非服务场景所必需的收集用户个人信息、欺骗误导用户下载等违规行为进行了检查,并对未按要求完成整改的App进行了通报,上半年工信部共通报了4批次,总计255款应用。此外,工信部加快发布实施《移动互联网应用程序个人信息保护管理规定》,持续开展专项整治、突出整治重点问题、加大技术检测,从完善制度、强化监管、优化感知等多个方面入手,开展综合治理,打好组合拳,为用户营造一个安全可靠的信息通信环境。本章主要介绍全国移动互联网应用的总量、地域分布、功能分类分布、分发渠道和下载量等情况。
截止到2022年6月,Android应用共计3459400款,其中有运营者/开发者信息,归属地明确为的应用共计902620款,占比26.09%;未标注运营者/开发者信息,归属地不明确的应用共计2556780款,占比73.91%。iOS应用共计2493053款;微信公众号5624483个;微信小程序1228289个。具体情况见下图。
移动应用分布情况
2022年上半年,Android应用总计新增243037款,年增长7.56%,6个月依次增长1.34%、1.13%、1.43%、1.26%、1.03%、1.14%,呈现不断增加的发展趋势。
2022年各月应用新增量及增幅
通过分析运营者/开发者明确的移动应用发现,广东省移动应用数量位居全国第一,占总量的31.66%;其次是北京市,占总量的19.02%;上海市位列第三,占总量的9.82%。浙江省和江苏省以6.80%和5.33%的占比,分列第四和第五。需要注意的是,难以落实运营者/开发者的移动应用往往容易成为安全管理的难点。
移动应用区域分布TOP10
根据移动应用的功能来看,移动应用可细分为游戏应用、生活实用、系统工具、办公学习、资讯阅读等主要类型。其中,游戏类移动应用数量占总量的43.28%,位居第一,远高于其他类型;生活实用类移动应用数量占总量的9.82%,位居第二;系统工具类应用数量占总量的5.65%,位居第三。显示出移动应用主要集中在与日常生活紧密联系的娱乐、生活和学习领域,此类移动应用使用频率高、获取个人信息较多,安全风险较大。
移动应用功能分类分布TOP10
移动应用分发渠道主要包括应用商店、贴吧和论坛等。全国移动应用分发渠道总计约1000+个。从在架应用的分布来看,渠道占比排名前三的分别为360市场、应用宝和豌豆荚,下图为移动应用分发渠道排行TOP10。
移动应用分发渠道排行TOP10
综合全国移动应用分发渠道的下载量统计,累计下载量排名第一的是北京微播视界科技有限公司开发的“抖音”(com.ss.android.ugc.aweme),下载728亿次,属于“影音播放类”应用;其次是上海寻梦信息技术有限公司开发的“拼多多”(com.xunmeng.pinduoduo),下载709亿次,属于“网上购物类”应用;排名第三的是南京尚网网络科技有限公司开发的“WiFi万能钥匙”(com.snda.wifilocating),下载552亿次,属于“生活实用”应用。显示下载量较高的主要是影音播放、网上购物等生活实用类应用,与民众生活息息相关。
移动应用下载量排行TOP10
活跃移动应用(即三个月内有更新的应用)总计112205款。从功能分类来看,游戏类应用活跃度最高,占总量的47.49%;生活实用类应用排名第二,占比7.76%;办公学习类应用排名第三,占比7.36%。游戏类应用总量排名第一且更新频率较高,需要着重关注其风险。生活实用类应用和办公学习类应用获取个人信息较多、使用频率高,需加强关注。
活跃移动应用的功能分类分布TOP10
移动互联网应用在收集个人信息时,应当根据业务需要收集用户信息,必须遵循“最小必要”的基本准则。但随着移动互联网应用收集用户个人信息的技术实现途径多样化,其中有部分出现了违规收集的情况,包括违规收集个人信息,或通过文字游戏诱导用户同意。另一种是未以清晰限定收集的目的、方式及范围,例如超范围收集个人信息,给用户隐私和利益带来潜在风险和危害。本章主要介绍移动互联网应用个人信息采集合规性抽样检测和存在合规性问题的应用的功能类型分布等情况。
对全国2022年1-6月有更新或新上架的移动互联网应用所获取的敏感权限进行分析,共发现存在获取敏感权限的应用87062款。其中,申请储存相关权限的应用最多,占总量的92.32%;其次是申请电话相关权限的应用,占总量的84.43%;排名第三的是申请位置相关权限的应用,占总量的65.56%。排名前三的个人信息敏感权限占比均在50%以上,且存储权限占比接近100%,显示移动互联网应用对个人信息相关的敏感权限获取存在过度的风险。
应用获取个人信息相关的敏感权限TOP10
2022年上半年,对78462款移动互联网应用进行个人信息合规性抽样检测发现,存在“违规收集个人信息”的占比27.35%;存在“超范围收集个人信息”的占比25.30%;存在“App强制、频繁、过度索取权限”的占比5.46%。违规和超范围收集个人信息成为最主要也是最严重的个人信息采集违规情况,背离了采集个人信息应遵守“最小化原则”的法律规定。开发企业、运营企业作为责任主体应提高认识,严格自律,而广大用户需要提高隐私保护意识,不轻易安装来源不明的移动应用。
个人信息违规类型分布
从功能类型分类来看,各类功能应用中,存在违规问题占比最高的是旅游出行类,占该类型应用检测总量的40.75%;其次是游戏类,占该类型应用检测总量的38.27%,位居第二;网上购物类占该类型应用检测总量的38.22%,位居第三。分析还发现,个人信息检测违规应用功能类型分布排名靠前的十大类移动互联网应用的违规问题占比均在35%以上,表明当前移动互联网应用违规问题相对严峻,仍需加强治理。
个人信息检测违规应用功能类型分布TOP10
个人信息合规性检测结果显示,有10394款移动应用存在“明文传输”的违规情况。分析传输个人信息类型发现:传输“个人基本资料”的应用占比最高,高达66.34%;其次是传输“个人常用设备信息”的应用,占比为64.37%;排名第三的是传输“网络身份标识信息”的应用,占比为60.69%。此外,个人健康生理信息和个人位置信息也是明文传输占比较高的信息类型。用户的个人信息在信息传输过程中容易出现个人信息泄漏,建议开发者针对“个人信息传输”进行加密处理。
明文传输个人信息类型TOP10
在经济全球化和大数据发展背景下,数据开放和共享,尤其是跨境传输事关国家数据安全和数字经济发展。中华人民共和国网络安全法第三十七条明确了:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。本章主要介绍移动应用跨境数据传输目的地和应用功能分类等情况。
对2022年上半年更新或新上架的131999款移动应用的数据传输行为进行检测发现,存在“将数据传输至境外服务器”的移动应用占比2.53%。显示部分移动应用涉及数据跨境传输,需警惕在合规性方面可能存在的风险和隐患。
数据跨境传输的移动应用占比情况
检测发现关联境外IP或域名的移动应用共计3328款,数据流向多个国家和地区。具体来看,数据跨境传输目的地排名第一的是美国,占比61.70%;排名第二的是中国香港,占比21.01%;排名第三的是新加坡,占比6.09%。值得注意的是,移动应用还存在将程序代码等数据直接外发或通过第三方SDK向境外传输数据的行为,存在重大的安全风险。
数据跨境传输目的地TOP10
结合相关移动应用的功能分类来看,涉及数据跨境传输的移动应用中,游戏类应用占该类型检测总量的5.84%,排名第一;育儿亲子类应用占该类型检测总量的3.05%,排名第二;系统工具类应用占该类型检测总量的2.64%,排名第三。此外,拍摄美化类、影音播放类、健康运动类、生活实用类、社交通讯类和金融理财类等类型的移动互联网应用涉及数据跨境传输的比例也较高,且这些应用与日常生活紧密联系,尤其是游戏、育儿亲子和系统工具类,涉及到个人敏感信息较多,使用频率也较高,风险较大。值得注意的是,游戏类应用总数量较多,存在跨境传输的应用占比也较高,且多数游戏需要实名制,绑定用户的身份证等敏感信息,一旦境外服务器受到攻击,极易造成用户敏感信息泄露。
数据跨境传输移动应用的功能分类TOP10
随着移动互联网终端的不断创新与发展,移动互联网应用与人们的生活息息相关,给人们生活带来便利的同时也改变了人们的生活方式。本章主要介绍各重点类型的移动互联网应用。
随着科技的发展,人脸识别技术在手机App上的应用已经非常普及了,已经被广泛运用于刷脸支付、刷脸安检、刷脸入住酒店等就像吃饭喝水一样自然。截止到目前为止,大数据平台收录“人脸识别”类的App有9566款,这些应用虽然一定程度上提升管理效率,提升交互体验,然而此类应用的个人隐私安全也令人担忧。在互联网时代像人脸识别这种生物特征认证,一旦被采集转换为计算机代码存入数据库就有可能存在风险。特征数据库一旦受到攻击,被犯罪分子获取,极易造成用户损失。普通密码丢失时我们可以选择更换密码,人脸数据一旦泄露,我们也没有第二张脸可以更换。另外,“人脸识别”产品中“活体检测”的安全性能也值得重视,比如有些产品存在“未对采集环境进行安全检查”或者“未对采集图像进行合理校验”等问题,导致攻击者可以轻易恶意劫持人脸图像,让服务器认定照片就是本人,由此来通过身份认证。此前已有类似的案例导致用户的数据安全、财产安全受到威胁。
同时值得关注的还有移动应用热更新技术,它是开发者常用更新方式,常常用于一些紧急bug修复、功能模块升级、重要数据同步等,这样对于开发者来说,不仅提高了升级效率,降低升级时间成本,同时对于用户体验来说,也是非常友好和便捷。
但是由于热更新技术,被一些黑灰产利用以后,带来的却是审核监管的难点。2017年时,苹果审核团队就要求开发者,移除所有热更新相关代码、框架或热更新SDK,并重新提交审核,否则将下架该应用。
黑灰产是如何利用热更新让App大变脸的呢?他们会正常向应用商店提交一款功能非常正常的App,但是在代码中加入了热更新功能。一些小众App分发平台审核人员在审核应用时,由于没有相关法规要求或没有相关检测要求,甚至分发平台根本就没有设置审核流程,这类App容易发布到互联网上。用户通过分发平台下载App并安装后,开发人员会在一定时间内,在服务器发布App版本升级指令。App在用户手机上运行时,一旦请求服务器并确认有最新的升级时,App则会悄悄地在后台下载升级代码,并组装代码形成一个新的功能或者成为一个新的App。而新的App所有功能和代码,都有可能和原App完全不一样,黑灰产可以利用代码的热更新升级,肆意植入恶意代码或者违法犯罪的功能等,逃避审核,直达用户。
那么如何防范热更新给监管带来的困难、用户带来的风险呢?首先应用商店应该建立严格的审核机制和热更新规范,要求上架App禁止使用热更新模块,审核通过后方可上架分发。其次加大监管力度,对互联网上分发传播的App,检测出有热更新模块,引导开发者用正确的升级方式,拒不整改的则立即要求下架。
近年来,“漫画”类移动应用快速兴起,从内容合规与风险防控的角度出发,我们针对某些活跃群体大多数是青少年的,具备发布漫画与打赏作者功能的应用进行初步巡检,随机抽查此类应用的内容,发现部分应用中存在发布同性恋、色情漫画买卖、外链引流售卖色情漫画等危害青少年的身心健康内容,应用平台未及时屏蔽敏感信息,运营主体需提高动漫色情低俗内容的研判能力,扩展安审团队对于风险内容的研判边界。
“漫画”类应用存在涉黄以及未缺少未成年人保护的措施
大多数移动应用安全事件是由相同的漏洞、不安全的编码实践,以及缺乏足够的安全测试造成的。本章主要介绍移动应用近几个月来存在的高危漏洞风险变化、漏洞类型、漏洞应用功能分类等情况。
2022年上半年,对2558713款应用进行107项漏洞扫描发现,74.79%以上的移动互联网应用存在高危漏洞风险。这与检测技术的提升存在一定的关联性。下图为2022年1-6月的高危漏洞详情。
2022年1-6月检测出存在高危漏洞的应用占比变化
移动互联网应用漏洞类型主要有Janus漏洞、截屏攻击风险和未移除有风险的WebView系统隐藏接口漏洞等,占比分别为56.04%、51.41%和47.95%。此外,Java代码加壳风险和日志数据泄露风险也值得关注,占比分别为47.69%和47.59%。
移动应用漏洞类型TOP10
从功能类型来看,主题壁纸类存在高危漏洞风险的应用数量占该类型应用检测总量的99.34%,位居第一;其次是金融理财类,占该类型应用检测总量的97.31%;第三是辅助软件类,占该类型应用检测总量的94.97%。存在高危漏洞最多的应用如果受到攻击容易导致用户的隐私泄露或直接财产损失,监管机构应加强对相关应用的监管。同时应用开发者应采取有效措施如通过使用应用加固,防范应对网络攻击,保障系统安全平稳运行。
存在高危漏洞风险应用的功能分类排行TOP10
从存在高危漏洞风险应用在各区域的实际占比情况来看,重庆市存在高危漏洞风险的应用数量占该区域应用检测总量的97.84%,位居第一;其次是云南省,占该区域应用检测总量的96.16%;第三是内蒙古自治区,占该区域应用检测总量的86.83%。
存在漏洞风险移动应用在各省的占比TOP10
恶意软件是当前互联网上最大的安全威胁之一,是一种恶意侵入性软件程序,包括但不限于病毒、蠕虫、间谍软件、广告软件、诈骗和网络钓鱼、勒索软件、机器人、特洛伊木马、Rootkit和键盘记录器等。网络犯罪分子发送恶意软件进行网络攻击,导致勒索软件攻击量激增,给公众的个人信息安全和财产安全带来了重要威胁。本章主要介绍移动应用近几个月来存在的高危漏洞风险变化、漏洞类型、漏洞应用功能分类等情况。
检测发现,2022年上半年含有恶意程序的应用从类型分布来看,恶意程序类型以“流氓行为”为主,占比87.05%。
主要恶意程序类型排名
恶意程序分发渠道排名第一的是“嗨客手机站”,占恶意程序总量的43.03%;排名第二是“魅卓网”,占比6.97%;排名第三的是“新云网络”,占比5.78%。下图为恶意应用分发渠道TOP10:
恶意应用分发渠道TOP10
从恶意应用在各功能分类中的分布情况来看,游戏类存在恶意应用的数量占恶意应用总量的60.96%,位居第一;影音播放类占比4.98%,位居第二;生活实用类占比4.38%,位居第三。
恶意应用的功能分类TOP10
SDK广泛应用于移动应用设计开发阶段。为提高开发效率、降低成本,移动应用开发商往往将某项功能交给第三方来开发,第三方将服务封装为工具包(即SDK)供开发者使用。SDK本身可能存在安全漏洞、隐瞒收集个人信息等安全风险。本章主要介绍2022年移动互联网应用嵌入SDK的情况。
移动互联网应用平均集成6.49个SDK,网上购物类、社交通讯类、旅游出行类平均集成SDK数量名列前三,分别为10.25个、9.91个和8.70个。不仅如此,办公学习、生活实用、健康运动、金融理财、游戏应用、育儿亲子和影音播放类平均集成SDK的量也较高,均在5个以上。第三方的SDK开发侧重于功能性的完善,在安全性方面的投入较少,可能存在一些安全问题,需提高对平均嵌入SDK较多的各类App的重视。
各应用功能类型平均集成SDK数量TOP10
从移动应用嵌入第三方SDK类型来看,最常见、使用最多的SDK类型包括工具类、框架类、推送类、依赖库类和支付类。其中,嵌入了工具类SDK的App数量最多,占比35.55%,遥遥领先;其次是框架类SDK,占比为9.51%;排名第三的是推送类SDK,占比为8.35%。工具类SDK作为使用最广泛的SDK类型,App开发者在使用该类型SDK实现功能的同时也要注意嵌入SDK后带来的安全风险。
SDK类型分布TOP10
从嵌入了第三方SDK的移动应用功能分类来看,排名第一的是游戏类,占比25.72%;其次是生活实用类,占比14.32%;排名第三的是金融理财类,占比9.13%。公众在使用各类移动互联网应用时,关注SDK方面的风险,不仅需要了解各类型应用的SDK嵌入占比情况,还需要了解每个应用嵌入SDK的数量,仔细阅读应用的隐私政策,注意保护自身的个人信息安全。
嵌入SDK的移动应用功能分类TOP10
随着移动端黑产的日益壮大,为了防止被破解、二次打包、恶意篡改等安全问题,移动互联网应用需要通过技术安全保护措施维护应用安全。本章主要介绍未采取技术安全保护措施的应用概况。
2022年上半年,统计分析未采取技术安全保护措施的应用(即未加固应用)的情况发现,已采取技术安全保护措施的应用总计342220款,占9.89%;未采取技术安全保护措施的应用总计3117180款,占比90.11%,与2020年的安全系数基本持平,显示2022年移动互联网应用在技术安全保护措施方面的改善较小。应用如果不采取技术安全保护措施则无法确保应用安全,无法防止被破解、二次打包、恶意篡改等问题,安全风险更大。
未采取技术安全保护措施的应用占比
通过对未采取技术安全保护措施的应用功能类型进行统计发现,主题壁纸类应用未采取技术安全保护措施的数量占该类型应用总量的89.10%,排名第一;其次是拍摄美化类应用,占该类型总量的79.99%;排名第三的是资讯阅读类应用,占该类型总量的70.68%。应用若不采取技术安全保护措施,应用极易被病毒植入、广告替换、支付渠道篡改、钓鱼、信息劫持等,会严重侵害开发者的利益或威胁到用户的信息安全。建议未采取技术安全保护措施的应用开发者或运营者应找寻求内外部的专业力量,对应用进行安全加固防护。
未采取技术安全保护措施移动互联网应用的功能类型分布TOP10
随着移动互联网应用网络安全监管政策的逐步加强,数据安全和个人信息安全保护已成为重中之重。监管部门开始加大对违规数据跨境、违规或超范围采集和使用个人信息、泄露或售卖用户数据、侵害用户隐私权益等违法违规行为的打击力度,进一步构建清朗的网络安全空间。本章主要介绍2022年移动互联网应用安全监管及安全态势情况。
2022年上半年,通过跟踪监管部门通报的780款移动应用相关版本的有效下载渠道,发现截至6月仍有422款通报版本的应用在部分渠道可以下载。从渠道分布来看,闪电下载仍有94款被通报应用可以下载,占可下载通报应用总量的22.27%,排名第一;其次是乐商店,仍有92款被通报应用可以下载,占总量的21.80%;排名第三的是搜狗应用,均仍有65款被通报应用可以下载,占总量的15.40%。
通报下架应用的有效渠道分布TOP10
分析监管部门通报的移动互联网应用在各功能分类中的分布发现,生活实用类应用数量占通报应用总量的10.90%,位居第一;办公学习类占比8.46%,位居第二;网上购物类占比3.97%,位居第三。
监管机构通报应用的功能分类TOP10
随着移动互联网的快速发展,人们的生活节奏越来越快,移动应用信息分享更加方便,因此深受用户喜爱。但部分应用所存在的安全漏洞、违规收集个人信息、内容违规等给用户带来了诸多困扰。守护个人信息安全不仅仅关乎人民群众的幸福感、获得感、安全感,更是与国家安全、社会安全各个层面等都息息相关。
近年来,App强制授权、过度索权、超范围收集个人信息的现象随着监管机构的大量惩处,违法违规使用个人信息的问题得到了一定程度的改善,但个人信息安全问题仍然严峻。对个体而言,个人信息流失轻则导致日常生活被频繁打扰,重则给犯罪分子实施诈骗、勒索等犯罪活动提供了便利条件。对于应用开发者运营者而言,需要保证数据处理活动的合法合规。数据的收集,不管是通过用户主动提供还是自动采集方式收集数据的,应就收集的目的、方式和范围取得用户的有效授权,在隐私政策中准确写明。并且数据采集手段、方式恰当、满足“收所必需、用所最小”的基本准则。各地监管部门要加强应用备案系统的建设并督促应用商店落实主体责任,加强应用上架审核,促进移动互联网健康有序发展。
部分应用可能内容审核不严,充斥着大量软色情、暴力、封建迷信等内容。监管机构需要加强对违规应用的监管力度,运营企业也需要加强内容审核,确保内容的安全健康、合规合法。爱加密移动应用大数据中心总监谢仰建议,App运营企业首先要对注册用户的基本信息进审核,包括头像、昵称、个人介绍的内容,实行“后台实名、前台自愿”原则。
其次在用户发表的评论审核方面,根据网信办发布的关于《互联网跟帖评论服务管理规定(修订草案征求意见稿)》意见稿中提到,平台运营者应当严格落实要建立信息内容发布的审核机制,对评论信息内容必须落实先审后发,及时发现处置违法和不良信息,并向网信部门报告,同时向用户提出警告或封停账号等措施。此外,平台需对自身发布或转载的内容进行严格审核,层层把关,做到发布的内容不产生歧义、不违法违规、特别是没有意识形体上的偏差。
最后,平台要建立信息内容的巡检机制,定期对平台发布、用户发表的内容进行巡查,避免出现以前合规、现在违规的内容传播。希望在各方力量的共同努力下,我国的网络空间会变得更加清朗。
上一篇: 没有了