中国泰尔实验室：移动智能终端预置应用安全行业报告

1、中国泰尔实验室?2021 年移动智能终端预置应用平安行业报告?序言2021 年是网络平安里程碑的一年，保护用户信息平安不再是一个口号，在网络平安政 策推动和网络空间法制化领域已经迈出了实质性的一步。通过宏观层面的顶层设计规划， 国家、地方和行业领域出台了多个政策法规，保护网络空间平安。?关于加强国家网络安 全标准化工作的假设干意见?发布，指导加快网络平安审查的建设工作，保护根底设施；?中华人民共和国网络平安法?出台，将现行有效的网络平安监管体制法制化，明确了网 信部门与其他相关网络监管部门的职责分工；年底工信部印发?移动智能终端应用软件预 置和分发管理暂行规定?，指导移动互联网行业各方标准预置

2、行为，依法维护用户的知情 权和选择权，维护移动互联网市场秩序。本报告重点介绍了 2021 年预置应用检测情况，结合全年发生的几个热点事件，通过相 关研究分析预置应用产业链的平安态势和研究必要性。希望通过本报告，帮助产业链各方 更好管理预置应用，认识应用预装平安的重要性和必要性，共同为移动终端用户提供平安 可信的使用环境。移动智能终端预置应用软件是指由生产企业自行或与互联网信息效劳提供者合作在移动智能终端出厂前安装的应用软件。第一局部 应用软件预置概况1.1 终端数量呈下降趋势 单个终端平均预置应用数量保持平稳2021 年单个型号首次检测情况如图 1-1。全年入网 1486 款移动智能终端，预置

3、应用 总数高达 26.8 万，单个终端平均预置应用个数为 181 个。通过统计数据可知，全年机型 个数随时间呈下降趋势，终端预置应用的平均水平保持平稳状态，每月预置个数根本上分 布在 160 至 200 之间，总体呈现小幅度上涨，分别在 3 月和 8 月出现平均预置应用个数峰 值，最少为 167 个，最多为 196 个。图 1-1 2021 年应用预置概况通过对终端预置应用的分析不难发现，终端在逐步建立以自身账户体系为根底的生态圈，一个终端产品的价值不仅限于购置的软硬件产品，品牌效劳的提升也是终端价值的 一局部。预置厂家通过自研的市场类或者支付类应用，成体系的定制化效劳提升用户体 验，通过互联

4、网增值效劳获得利润。1.2 终端预置过多应用 知名应用主导第三方应用预置市场2021 年全年预置的桌面应用约 10 万个，单个终端桌面应用最少预置 14 个，最多预 置 264 个。如果将无图标的系统应用考虑在内，预装应用数量最多高达 500 余个，其中除 去系统运行所必须的软件外，厂商预置了大量非根本功能外的应用软件，很多应用用户不 常使用且无法卸载，占用系统容量，影响用户体验。全年终端预置第三方应用软件前十位是微博、 百度、讯飞输入法、百度地图、高 德地图、美团、美妆相机、今日头条、微信和群众点评，预置数量统计包括终端型号首次 入网和备案数量，如图 1-2。预装量较大的第三方应用多为知名厂

5、商主流应用，应用文件 大，内存占用高，应用功能与系统根本功能重叠较严重，且根据用户喜好可选用的替代应 用较多。图 1-2 第三方应用预装前十第二局部 预置应用软件监测情况分析2.1 收集用户数据、流量消耗为预置应用不合格主因随着终端厂家对预置应用平安要求理解的深入，首次送测不合格比例逐年减少，如图 2-1。终端厂家和应用厂家已经逐步意识信息平安的重要性，对应用敏感行为进行明示，避 免发生后台敏感行为的调用，保证用户的知情权和选择权。图 2-1 2021 年应用首次送测检测情况通过对全年送测不符合要求的终端和备案应用数据分析发现，如图 2-2 和 2-3，预置 应用无法测试的比例较高，主要表达在

6、应用无响应、样机异常等。预置应用不合格原因以 流量消耗和收集用户数据为主。近几年，为适应市场竞争，终端价格逐渐贫民化，硬件利 润下降的同时，用户的个人信息成为新的赢利点。随着众多涉及用户隐私泄漏的平安事件 暴露，用户也意识到自身个人信息的珍贵，对后台收集信息行为的耐受力下降。同时，无 论是移动数据或者付费热点的流量消耗行为都有可能直接导致费用损失，威胁用户的信息 平安。2.2 近三成预置应用申请敏感权限 设备属性、外部存储、联系人数据申请积极性较高以 Google 官方定义的涉及用户隐私的应用权限为基准，结合?移动智能终端平安能 力技术要求?涉及的敏感行为，通过分析全年预置应用敏感权限申请情况

7、，发现近三成预 置应用在编写代码时申请了敏感权限，并在年底申请敏感权限的预置数量出现了激增的现 象，如图 2-4。开发者在编写应用时，为方便开源库的利用或者为了接口调用方便，完全不考虑应用的功能需求，大批量申请应用敏感权限，多数敏感权限在应用实际使用中并未涉及。预置应用权限滥用埋藏了更为严重的平安隐患，多数预置应用拥有系统级高权限， 假设开发者没有重视应用自身的代码保护，系统级权限很有可能被攻击者利用，引起信息泄 露甚至系统破解等问题。图 2-4 预置应用敏感权限占比将获取用户敏感信息按类别进行权限组的划分，将同类敏感信息划为一个权限组，通 过图 2-5 看出全年各类权限组占比分布情况，其中设

8、备特性，外部存储，联系人，地理位 置和短信占比拟高，设备信息和外部存储多用于应用正常运行所需，但是联系人，地理位 置，短信等与用户个人信息关系密切的敏感行为，并不是多数预置应用根本功能所必须， 通过数据可以看出预置应用对这几类数据权限申请的积极性较高，敏感权限的过多申请， 也给用户的信息平安埋下了隐患。图 2-5 预置应用权限组分布2.3 应用广告插件预置比例呈上升趋势移动应用软件通过内置广告插件向用户推送广告，是终端厂家和应用厂家重要的盈利 来源。近些年，移动智能终端市场竞争逐渐剧烈化，局部终端厂商为保证价格优势，多数 选择压低硬件利润转而通过广告推送盈利。2021 年，终端应用预置通用广告

9、插件占比约为 0.34%，如图 2-6。由于预置应用以系统应用为主，虽然预置广告插件比例较低但整体呈现 上涨趋势。图 2-6 预置应用广告插件比例预置应用内置的广告插件大多来自国内外知名广告厂商。广告推送本身属于正常的商 业行为，但是有些广告厂商为了自身利益，会诱导用户点击，进行流氓推送或者过于频繁 推送，严重严重影响用户体验，也有可能造成用户的费用损失。甚至有一些广告插件会获 取大量的用户隐私数据，延伸出一条利用用户数据牟利的产业链，扰乱产业正常开展。排名广告件来源1AdWare/Android.Admob.aGoogle 官方广告插件2AdWare/Android.GenericAd.a小

10、众、不知名广告插件3AdWare/Android.youkuad.a优酷官方广告插件4AdWare/Android.Flurry.aFlurry 官方广告插件5AdWare/Android.gdt.a腾讯广点通广告插件2.4 预置应用加固程度较低图 2-7 预置应用加壳占比应用软件加壳是利用特定的算法对应用资源压缩处理的手段，主要是为了防止外部程 序或者软件对应用的反汇编和动态分析，是一种应用程序的保护手段。预置应用与系统功 能关系密切，涉及大量的用户信息收集和存储，局部恶意开发者利用应用平安漏洞，针对 预置应用进行破解攻击，给用户的隐私平安带来了潜在威胁。2021 年，加壳应用数量占所 有预

11、置应用的 0.37%，如图 2-7。应用的加壳保护一定程度上加大了恶意开发者的破解难 度，有助于终端用户的隐私防护。第三局部 预置应用热点事件3.1 终端设备后门事件2021 年 11 月，某国外平安公司从海外销售的低端 Android 固件中发现了一个预 装的后门软件，该后门会将短信的全文、联系人名单、通话记录、位置信息，以及其他数据上传至国内的效劳器，如图 3-1，经调查发现此固件的供给方为我国某 FOTA 技术效劳提供商。该平安事件在国内外引起巨大反响，包括纽约时报在内的西方主流媒体纷纷报 导，报道语言锋利，网友评论剧烈，矛头直指中国厂商。实验室第一时间跟踪事件，未发 现进网预置应用中存

12、在该事件相关样本，对后门应用代码分析后发现，该后门通过在线更 新将相关关键应用投放到终端，过程比拟隐蔽。图 3-1 后门应用代码片段本次平安事件，不仅侵害了终端用户的信息平安，损害终端厂商声誉，甚至严重影响 了国家信誉，企业名誉与市场的双损失和中国制造品牌形象的受挫都是此次事件无法挽回 的损失。虽然事后相关厂商声明，获取的用户数据用来帮助用户识别垃圾短信和 等相 关效劳，但是未经用户允许的信息收集行为已经侵犯了用户的个人隐私信息。预置应用由于特定的搭载形式容易成为用户的平安盲区，国内 厂商众多，局部厂 商缺乏对终端集成产品的防范意识和监测措施。通过此次平安事件可以看到，移动智能终 端证后的平安

13、监控变得越来越重要，在整个产业生态链中任何一个阶段植入的恶意预置应 用都会给用户带来极大的平安威胁，全链条的平安需求不容无视。3.2 预置应用刷机现象猖獗在漫长的移动智能终端销售链中，用户最终拿到的终端有可能被安装了未经许可的第 三方软件或软件效劳，而且无法卸载。这种刷机行为已经成为销售产业链各环节盈利的一 种固定方式，终端厂商的操作系统被非法改造，原系统的软件和效劳被删除，占用终端资 源，添加可能危害用户信息平安的应用，如图 3-2。刷机后的终端替换了原始根本功能应用，并添加了数十款其他应用，给用户体验和 厂商造成了巨大的损失，刷机后的终端有可能引入系统漏洞、后门等平安问题。图 3-2 终端

14、刷机后替换原有应用刷机行为通常发生在分销到线下店面的过程中，终端刷机后流入线下连锁店和个体商 户，或者线上电商和线下合作商城。通过调研和数据分析得知，我国整体 行业被刷机 的数量预估占总出货量的 10%左右。刷机行为已经逐步成为一个产业行为，局部刷机公司 已经具备一定规模和影响力，衍生出一个完备的拥有上下游环节的巨大黑色产业链，涉及 刷机公司、应用厂家、供货和渠道、刷机工具和模具公司、专门破解系统的平安技术公 司。刷机过程中被预装的各种软件和效劳没有经过任何检测，存在大量盗版和恶意行为， 损害了终端和应用厂家利益，严重影响了知名厂家的用户口碑。3.3 工信部标准应用预置与分发要求随着我国移动智

15、能终端产业迅速开展，应用软件为人们的工作生活带来很大便利，但 是用户购置的 里面预置应用软件无法卸载，占用内存、消耗流量等问题频频出现。 2021 年 10 月，广东省消委会携手全省 23 家市、区消委会，联名提出希望工信部推进落实 预置应用软件自由卸载。依据深入研究和调研成果，2021 年 12 月 16 日，工业和信息化部印发?移动智能终端应用软件预置和分发管理暂行规定?。该?规定?共 14条，自 2021 年 7 月 1 日起实施。?规定?要求生产企业和互联网信息效劳提供者均明示所提供移动智能终端应用软件 相关信息，确保除根本功能软件外的移动智能终端应用软件可卸载，明确了从事应用商店 等

16、移动应用分发平台效劳的互联网信息效劳提供者，以及在移动智能终端中预置了移动应 用分发平台的生产企业对所提供的应用软件负有的管理责任，还规定了通信主管部门的相 应管理职责。规定的发布可以极大程度保护广阔用户合法权益，标准移动互联网市场秩 序，维护网络平安，促进信息通信行业健康开展。通过?规定?的实施，用户可以知道自 己购置的移动终端平安了什么功能的应用，也可以对卸载不需要的预置应用，极大程度上 维护了用户的知情权和选择权。第四局部 预置应用产业链平安态势分析通过上述平安事件发现，事前监管已经不能充分保证用户的信息平安，大多数平安问 题发生在终端获证之后。需从事前审批转变为加强事中事后监管，目前多

17、采用证候监督检 查、专项行动检查和投诉举报等机制进行监管，此时用户的权益有可能已经收到侵害，需 要通过终端平安态势感知增加持续性、主动的监管方式，逐步解决移动终端设备识别和定 位问题、根底设施网络拓扑下的溯源方法、平安事件的回溯、恶意行为触发识别和分析， 收集移动智能终端易受病毒感染及侵害节点，并实施移动智能终端证后监管措施。4.1 复杂的预置应用产业链预置应用是指由生产企业自行或与互联网信息效劳提供者合作在移动智能终端出厂前安装的应用软件。正规的预装渠道包括芯片厂商、方案商、品牌厂商和运营商定制预装， 所有预装环节由品牌厂商严格把控。终端出厂后经销商、代理商、零售商和运营商营业厅 等销售渠道

18、，经由非正常预装环节，有可能通过刷机方式预置了未经许可的应用。国内主 要的终端芯片供给商如展讯、MTK、高通等，相关软件直接预装在 芯片中，用户无法 卸载。方案商主要有龙旗、华勤等，虽然没有预装权限，但仍保存了推送的权限。品牌厂 商包括华为、中兴、VIVO 等，终端厂商将应用内置于系统中，保障系统根底功能的同时 完善自身产品的生态链。运营商包括中国移动、电信、联通等，运营商既有合理的定制预 装方式，也有非正规的营业厅刷机方式。经销商、代理商和零售商等销售阶段属于非正规 预装渠道，通过刷机等手段预装应用以获取经济利益。刷机后的终端缺失了品牌亮点应 用，有可能预置了偷跑流量、窃取隐私的恶意应用。刷机厂商和正规预置厂家的博弈一触 即发。4.2 预置应用对用户的影响为难的用户处境 预置应用装机量大，平安问题影响面广，因其特殊的搭载形式，用户无需下载安装，但其中不乏一些用户并不常用的功能，又无法卸载，占用终端容量。用户不具备预置应用的处置能力，处境十分为难。潜在的隐私泄漏风险预置应用由于与系统功能密切相关，