爱加密第二季度全国移动App安全性研究报告-安全客

全国移动App概况

根据爱加密大数据中心提供的数据，截止6月底大数据中心新增收录Android应用约7万个；收录的Android应用中， 60%以上都存在漏洞威胁，6.99%的App存在恶意行为，较上季度增加1.35个百分点，35%以上的App存在不同程度的越权、越界操作等违规行为。

（一）App产量前十的省市包揽了九成以上的应用

从App分布区域来看，广东省App产量位居第一，占App总量的35.70%；其次是北京市，占总量的33.45%，湖北省App产量首次超上海市位居第三，占总量的6.22%。详见图1：

图1 App区域分布图

（二）小说阅读类App存在漏洞风险最高

第二季度，从各类App中含有的漏洞风险来看，64.26%的移动App存在高危安全漏洞。其中，小说阅读类App含有高风险漏洞的比例最高，占小说阅读类App总量的92.47%；其次为旅游交通类App，占旅游交通类App总量的92.03%，购物排名第三，占购物类App总量的91.60%。根据漏洞风险占比数据可以看出，政府指导的官方应用安全风险问题相对较少，而非官方的互联网公司开发的应用存在漏洞风险比例较高。详见图2：

图2 高危风险占比行业排名

（三）本季度新增52个监控渠道

本季度大数据平台新增应用分发渠道52个，较上季度渠道总量增加了20.97%。同时监测到有49个渠道，由于受监管机构要求或自身业务调整而关闭，甚至有些分发渠道服务器由国内转移到了韩国、日本等地。通过52个新增渠道增加应用包（未去重）约26万个，其中湖北省新增的渠道数量最多，新增10个渠道，新增应用包4.25万个。详见图3：

图3 应用市场统计图

（四）本季度新发现5.18万款存在恶意程序的App

本季度新增5.18万款存在恶意程序的App被杀毒引擎识别和查杀，其中新发现17种具有恶意传播行为的应用，这些恶意应用携带恶意子包或恶意代码，可能会给用户恶意推送广告，造成用户流量资费消耗。本季度发现的恶意程序仍以流氓行为类型为主，详见图4：

图4 恶意程序类型分布图

（五）百款应用仅12款包含IPV6

选择了市场占有率排名靠前的100款应用进行IPV6检测，从类型上看，百款应用中工具类数量最多，其次是视频影音类、游戏类和新闻资讯类。从区域上看，北京数量最多，其次是广东和上海。其中有12款应用中包含了IPV6地址，详见图5：

图5 检测出IPV6地址数量占比图

移动App漏洞情况分析

（一）60%以上Android应用都存在安全漏洞

约277万个Android最新版本应用包通过爱加密移动应用安全平台进行风险检测，其中，有漏洞的App约179万个，占检测总数的64.62%，较上季度下降3.15个百分点。本季度排名前三的漏洞排序与上季度保持一致且都有下降趋势，分别是：Janus漏洞环比下降6.19个百分点、未移除风险的WebView系统隐藏接口漏洞环比下降6.6个百分点、截屏攻击风险漏洞环比下降6.39个百分点。详见图6：

图6 漏洞App数量统计图

（二）利用Janus高危漏洞生产“山寨”App

本季度存在Janus高危漏洞的应用数量最多，Janus漏洞已成为本季度威胁最大的安全风险漏洞。以下是技术人员模拟黑客利用Janus漏洞生产“山寨”APP的过程，只需五步就能轻松生产一款“山寨”App：

第一步：通过GetApkInfo.jar获取应用的签名信息，可以看到未使用V2签名。

第二步：解包，取出classes2.dex，用baksmali.jar反编译。

第三步：找到其中一个smali文件，修改其字符串。

第四步：利用smali.jar回编译该目录，生成新的dex文件。

第五步：用janus的漏洞利用脚本生成有问题的apk。

重新对比签名信息，可以看到修改后的apk签名是一样的，该应用“盗版”成功。详见图7：

图7 利用Janus漏洞成功生产盗版图

目前判断一个应用是否是“山寨应用”，主要是根据其签名是否与官方App签名一致。而如果被黑产团队利用Janus漏洞生产出的山寨App，其签名是与官方App的签名一致的，因此很难区分这种形式生产的App是否为山寨。

（三）北京存在漏洞的App数量已超过广东

从漏洞的区域分布来看，北京广东存在漏洞App的数量仍是排在前列，其中北京市存在漏洞应用数量占检测总量的27.60%，其次是广东省，占总量的26.59%。且北京市存在漏洞的App占北京市应用总量的比例为83.18%，较广东省75.08%高出8.1个百分点。详见图8：

图8 漏洞区域分布情况

移动App存在恶意程序情况分析

（一）恶意App占比高达6.99%

近期，通过爱加密病毒引擎抽样扫描发现，有19.37万款App存在恶意程序，占抽样检测App总量6.99%。其中有1875款App查到了木马病毒，这些病毒存在窃取用户的隐私和资费消耗等恶意行为，需提高警惕。

本季度恶意程序类型还是以流氓行为为主，这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为，对移动用户的个人信息及财产安全带来巨大的威胁。详见图9：

图9 恶意程序类型统计表

（二）江苏省恶意App数量仅次于广东和北京位居第三

从恶意App分布区域来看，40.71%的恶意App都位于广东省，其次是北京市，占恶意App总量19.58%，排在第三位的是江苏省，占恶意App总量11.04%。

江苏省恶意App以游戏类最多，其次是工具软件和生活服务类。这些App与用户的日常娱乐休闲及生产活动连接紧密，是用户使用频率较高的应用类型，这些应用主要通过嵌入含有广告推送的恶意程序，造成用户流量及资费消耗，影响用户体验。从应用来源看，江苏省恶意App有一半以上都来自江苏省的应用渠道“免费市场”（http://m.mianfei.cn），而截至目前该渠道已关闭，无法再提供软件下载。

（三）部分小渠道恶意App占比将近三成

本次共计扫描369个应用商店，其中多达236家都存在涉及恶意的App，其中魔盟网、聚乐游戏中心这些小的应用商店，App总量不多但存在恶意程序的App占比较高。详见图10。

图10 恶意App总量占比排名前五的市场

（四）运动健康类应用最易被恶意程序盯上

从恶意App分类上看，运动健康类App存在恶意程序的比例最高，占比达11.18%，其次是互联网公司开发的金融类App，占比为10.15%，排在第三位的是互联网公司开发的教育类App，占比为9.62%。详见图11：

图11 恶意App行业分布

App嵌入SDK情况分析

（一）SDK概况

SDK 是 SoftwareDevelopment Kit的缩写，即“软件开发工具包”。简单来说，它是辅助开发移动应用软件（APP）的相关文档、范例和工具的集合。主要包括广告、框架、推送等八大类，目前框架类SDK使用范围最广，市场占有率42.98%；其次是广告类，市场占有率12.86%；第三位的是社交类SDK，市场占有率11.60%。详见图12：

图12 各类SDK市场占有率

（二）单个SDK的市场占有率情况

从各个SDK市场占有率来看，AdMob广告市场占有率最高，为17.16%；其次是GSON，占有率为13.44%；排在第三位的是支付宝支付SDK，市场占有率为9.91%。详见图13：

图13 SDK市场占有率统计图

（三）游戏类应用最爱嵌入AdMob广告SDK

全国约有46万多款App嵌入了这个SDK，主要集中在游戏类、生活服务类和工具类软件，合计占比84.09%。详见图14：

图14 AdMod广告市场行业市场占有率

（四）1.36%的应用嵌入的SDK数量超过15个

经爱加密大数据平台统计，65.81%的App都嵌入了第三方SDK应用包，平均每个应用嵌入约2个SDK。其中有近四万个App嵌入SDK数量超过15个，占App总量的1.36%。详见图15：

图15 嵌入SDK数量分布图

（五）SDK超范围采集、高危风险漏洞情况较为突出

爱加密选择了市场占有率排名前50的SDK，对这50个SDK进行个人隐私信息安全检测和安全风险监测，其中有22款SDK存在问题，具体检测结果如下：

（1）SDK违规概况，经检测分析，22款SDK按照违规分类，有13款SDK存在超范围采集，有9款SDK存在权限违规，9款SDK存在高危风险漏洞。

（2）个人隐私权限违规，22款SDK累计申请268项权限，其中申请敏感权限78项，某支付SDK最多申请了6项敏感权限。

（3）危险行为，检测出2款SDK存在危险行为，一是某社会化分享SDK分别获取了5次IMEI信息和IMSI信息；二是某移动统计SDK分别获取了5次IMEI信息和3次IMSI信息。

（4）境外传输，检测出1款SDK存在境外传输行为，某支付SDK被检测出向“103.7.30.94“这个IP地址传输信息，该IP地址经查归属地为中国香港。

（5）安全风险漏洞，22款SDK，有17款检测出存在安全漏洞，其中9款存在高危风险漏洞；累计检测出78条安全风险漏洞信息，其中有15条高危风险漏洞。

（6）推送类SDK超范围采集，主流厂商的推送SDK，均不能收集用户的位置信息。而这22款主流SDK中，有三款推送SDK获取了用户的位置权限。

移动应用个人信息安全案例分析

5月24日，App专项工作组发布了“百款常用App申请收集使用个人信息权限情况”，并公开了“百款常用App申请收集使用个人信息权限列表”，受到了广泛关注。为进一步让大家了解这些App获取权限的情况，爱加密技术团队对这百款应用获取权限情况进行了分析，具体内容如下：（数据来源：App专项治理工作组《百款常用App申请收集使用个人信息权限情况》）

（一）三成以上应用获取10个以上的权限

据统计，仅有2款应用获取少于5个权限，绝大部分应用（64个）获取了6-10个权限。详见图16：

图16 收集个人信息相关权限数量分布图

（二）读取电话状态和写入外置存储器权限成应用标配

通过对百款应用获取权限的统计，发现百款应用均获取了“READ_PHONE_STATE”读取手机状态，这属于敏感权限，有此权限的应用程序可确定此手机的号码和序列号，是否正在通话，以及对方的号码等。除此之外，百款应用也都获取了“WRITE_EXTERNAL_STORAGE”写入外置存储器权限，这也属于敏感权限，有此权限的应用可以修改或删除存储卡中的内容。详见图17，红色代表高敏感权限，黄色代表中敏感权限，绿色代表低敏感权限：

图17 相关权限App数量排名TOP10

根据今年6月全国信息安全标准委员会发布的《移动互联网应用基本业务功能必要信息规范》以下简称《规范》，列举了16个应用类型收集的必要信息。

1.根据《规范》百款应用中均未列出“读取手机状态权限”和“写入外置存储器”权限，因此这百款应用均涉嫌超范围采集。

2.根据《规范》百款应用中除4款拍照美化类应用外，其他95款应用获取了“拍照”权限，涉嫌超范围采集。

3.根据《规范》百款应用中均未列出“录音”权限，而有90款获取了“录音”权限，涉嫌超范围采集。

（三）隐私条款乱象

乱象1

隐私条款列举了收集用户各类隐私信息，但却未对收集信息所对应的功能进行说明。详见图18 ：

图18 某资讯类App隐私条款截图

该款App收集个人身份信息（生日、籍贯）、个人上网记录、个人财产信息、位置信息和通讯录信息，但各类信息对应的业务功能未明确说明。

乱象2

向第三方提供用户隐私信息时，未说明双方承担的相应责任，存在隐私信息泄露的风险。详见图19：

图19 某两款App个人隐私条款部分内容截图

这两款App向第三方提供个人信息时，未说明双方所承担的相应责任。

乱象3

不支持用户注销功能。根据App专项治理工作组制定《App违法违规收集使用个人信息自评估指南》第八条规定：“支持用户注销账号，更正或删除个人信息”。详见图20：

图20 某App隐私条款部分截图

该应用未明确说明是否支持用户注销账户，只是说用户可以删除部分个人信息或者要求App运营者删除个人账号，但未明确指出如何联系运营者删除个人账户且未说明响应时间。应明确指出用户删除信息后，不会立即从服务器删除这些信息和副本，甚至可能不会从系统中删除相应信息。

如何保障移动应用安全

（一）提防应用存在恶意程序损害用户利益

从恶意程序检测数据来看，已检测的应用中有6.99%的App存在病毒，都存在不同程度的损害用户行为。从查出的这些恶意App来看，移动互联网应用市场存在大量的仿冒App。这些仿冒App与正规App的名称和logo相似，用户很难区分，因而极易上当受骗。据统计全国393万用户的手机里装有仿冒软件；其中借贷软件“融360”被仿冒的次数最多，达到了21016次；仿“某国有银行”软件感染人数最多，已有755509人受到影响。

截止目前爱加密大数据平台共计收录各类App 518万款，其中Android应用277万款，iOS应用241万款，收录大小App市场三百多个，能对各类App市场的App进行相似扫描检测，且通过爱加密强大的爬虫团队实时获取更新的数据，可以及早发现仿冒App，以免个人信息泄露，维护应用运营企业利益和最终用户利益。

（二）个人隐私信息风险问题较多亟待治理

国家层面越来越关注个人信息的安全问题，先后发布了多条法律法规保护个人隐私信息的安全，包括在2017年6月1日正式施行《中华人民共和国网络安全法》，2018年5月1日施行《信息安全技术个人信息安全规范》，以及分别在2019年3月和6月施行的《App违法违规收集使用个人信息自评估指南》和《移动互联网应用基本业务功能必要信息规范》中都明确规定了个人信息和个人隐私保护方面的内容。

规定网络运营者收集、使用个人信息，应当遵循相关的法律法规，并经被收集者同意，不得向他人提供个人信息。此外，网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息；网络运营者应当采取安全措施，确保其收集的个人信息安全。

然而实际操作中，由于取证难、执法难。存在大量App开发企业无视法律法规，在用户使用时根本不提供隐私条款，部分App即使有隐私条款，也是和实际采集的用户信息不匹配。大量App存在过度采集信息，即不是他们提供服务时应获取的信息，以及大量App在收集和使用用户个人信息时缺乏明示，且未经用户确认等情况。

越权收集使用、随意操作窃取现象非常突出。个人信息已成为机遇和福祉的新源泉，也成为风险和威胁的新焦点。据爱加密大数据平台的数据显示，70%以上的App存在违规收集个人隐私信息的行为，除以上案例中列举的个人隐私条款乱象外，大部分Android应用还存在以下的问题：

（1）实际收集的个人信息与业务功能无关，如资讯类App收集用户通信录及个人身份信息等；

（2）未公开收集使用个人信息的规则，如没有隐私政策或隐私政策中没有如何收集使用个人信息的相关内容；

（3）无法注销账号，App不提供注销功能，或注销后不及时删除个人信息；

（4）将基本业务功能与其他业务功能“捆绑”，要求用户一次性授权同意收集个人信息，不同意则拒绝提供任何业务功能；

（5）未经用户同意收集个人信息，或在提醒用户阅读隐私政策前就开始收集、上传个人信息。

（三）多部门发文并开展整治行动保障移动应用安全

多部门先后发文及开展整治行动，包括在2019年6月28日工信部发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》以下简称《方案》，《方案》中明确要求“深化App违法违规专项治理”；2019年1月25日，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，截至6月11日，共收到举报信息5500余条，其中实名举报信息1800余条，可见整治效果还是比较好的。

如何提高移动应用运营企业的法律意识，主动承担起保障移动应用安全的责任，成为今年乃至今后很长一段时间政府相关部门及爱加密执法团队的首要任务。

近期移动安全大事件

2019年5月5日，App专项治理工作组在其官网和官方公众号对《App违法违规收集使用个人信息行为认定方法（征求意见稿）》公开征求意见。相较于《App违法违规收集使用个人信息自评估指南》主要适用于App运营者对其收集使用个人信息的情况进行自查自纠，同时还明确界定App收集使用个人信息方面的违法违规行为，为App评估和处置提供参考。

5月10日正式发布网络安全等级保护2.0标准，并于2019年12月1日正式实施。爱加密作为移动应用安全领域唯一获得信息安全等级保护安全建设的企业，受邀参加此次盛会，与测评机构、企业安全负责人、厂商代表、知名专家等，探索移动应用安全的等级保护合规之路。

5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》（下称《办法》），对公众关注的个人信息安全问题直接回应。专家表示，《办法》着眼于公众反映强烈的个人信息泄露问题，对“任性”的App立规矩，将对该行业产生重大影响，倒逼网络经营者加强对用户个人信息安全保护。

6月1日全国信息安全标准化技术委员会，结合当前移动互联网技术及应用现状，编制发布了《网络安全实践指南—移动互联网应用基本业务功能必要信息规范（V1.0）》，给出了16类基本业务功能正常运行所需的个人信息。

6月11日，中国网络安全产业联盟发起的《移动App安全规范》编写小组第三次会议在爱加密举行。爱加密作为主要编写单位，积极参与标准的讨论和制定，共同推动规范的完善与落实，保障中国国家网络安全和用户利益。

6月21日爱加密推出了个人信息安全检测平台V2.0，较之V1.0除了权限检测之外，还增加了隐私政策文本、App收集使用个人信息行为、App运营者对用户权益保障、软件和技术供应链情况、技术脆弱性、其他违规违法信息等6大类30+个评估点。