中国电信爱加密：2023全国移动应用安全观测报告

2023年全国移动应用安全观测报告前言 41.全国移动互联网应用概况 61.1.全国移动互联网应用总量综合情况 61.2.全国移动应用分发渠道分布 71.3.全国活跃移动互联网应用功能类型分布情况 81.4.全国移动互联网应用地域分布情况 91.5.全国移动互联网应用下载量情况 112.境外SDK情况概述情况 122.1.境外SDK及嵌入境外SDK应用情况分析 122.2.嵌入境外SDK应用个人信息自动化检测违规情况 132.3.嵌入境外SDK应用个人信息违规类型分析 142.4.嵌入境外SDK应用中疑似访问境外ip情况分析 152.5.境外SDK的敏感行为分析 163.全国移动互联网应用在个人信息保护方面情况概述 173.1.个人信息人工深度检测违规情况 173.2.个人信息自动化检测违规情况 183.3.应用申请使用权限情况 193.4.数据跨境传输目的地分布情况 203.5.数据明文传输类型情况 213.6.应用敏感行为情况 224.全国通报应用概况 234.1.通报应用总量综合情况 234.2.通报应用区域分布情况 244.3.通报应用功能类型分布情况 244.4.通报应用版本仍有效渠道分布情况 254.5.通报个人信息问题类型分布情况 265.全国移动互联网应用漏洞风险概况 275.1.各等级风险漏洞情况 275.2.各风险漏洞类型应用排行情况 285.3.各功能类型存在高危风险漏洞的应用排行情况 296.全国移动互联网应用植入恶意程序情况概况 306.1.主要恶意程序风险描述 306.2.恶意应用功能类型分布情况 307.移动互联网应用盗版/仿冒情况分析 317.1.盗版/仿冒应用功能类型分布情况 317.2.盗版/仿冒应用分发渠道分布情况 327.3.2023年热点应用-ChatGPT分发渠道分布情况 337.4.2023年热点应用-VPN区域分布情况 348.移动互联网应用技术安全保护措施 358.1.未采取技术安全保护措施的应用占比情况 358.2.未采取技术安全保护措施的应用功能类型分布情况 369.未成年人网络保护条例 369.1.我国未成年人网络保护背景及特点 369.2.未成年人使用移动应用风险分析 379.3.未成年人使用移动应用的建议 3910.个人信息安全保护措施 3910.1.移动应用个人隐私安全调研分析 3910.2.移动应用的数据安全防护的重要性 4111.公司介绍 42前言疫情后时代，经济增速的放缓，互联网和移动应用（App）已成为我们生活最后，我们期望本次编撰的《2023年全国移动应用安全观测报告》能为广1.全国移动互联网应用概况排名开发企业更新应用量1广州**网络科技有限公司8082北京**互联科技有限公司7933北京**科技发展有限公司6744深圳**互娱网络有限公司5455北京**科技有限责任公司4786厦门**网络科技有限公司4217广州**互联网信息服务有限公司4138南京**网络科技有限公司3679北京**科技发展有限公司358深**信息技术有限公司353截至2023年，移动应用安全大数据平台纳入监测的应用渠道数量总计有确的开发、运营主体进行归属地划分，下列区域分布仅基于这94万款做分析。排名应用名称开发者名称2023年下载量（亿）2022年下载量（亿）1拼多多上海寻梦信息技术有限公司7652抖音北京微播视界科技有限公司9578073快手北京快手科技有限公司7425434百度在线网络技术（北京）有限公司6054765WiFi万能钥匙南京尚网网络科技有限公司5784346手机淘宝淘宝（中国）软件有限公司5584737QQ深圳市腾讯计算机系统有限公司5204898头条北京字节跳动科技有限公司5104459支付宝蚂蚁金服（杭州）网络技术有限公司485413美团北京三快在线科技有限公司3852972.境外SDK情况概述情况境外SDK类型分布top10用类、游戏类及办公学习类应用居多，占比分别为14.98%、13.56%、12.33%。嵌入境外SDK的应用的能类型及区域分布top10移动应用大数据平台针对嵌入了境外SDK的应用总计5.3万款App进行了个人信息合规性检测，其中55.21%存在个人信息自动化检测违规情况。这部分存嵌入境外SDK应用个人信息自动化检测违规情况个人信息违规类型分布个人信息违规类型分布在将IMEI/设备MAC地址/软件安装列表等个人信息发送给友盟/极光/个推等第由SDK引起的个人信息违规占送检应用App未见向用户告知且未经用户同意，存在将IMEI/设备MAC地址/软件安装列表等个人信息发送给友盟/极光/个推等第三方SDK的行为。9.79%App未向用户明示SDK的收集使用规则，未经用户同意，SDK在静默状态下或在后台运行时，存在收集通讯录、短信、通话记录、相机等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。8.67%App未见向用户明示SDK的收集使用规则，未经用户同意，SDK存在每30s读取一次位置信息，非服务所必需且无合理应用场景，超出实现产品或服务的业务功能所必需的最低频率。7.51%App未向用户明示SDK的收集使用规则，未经用户同意，SDK在静默状态下或在后台运行时，存在按照一定频次收集位置信息、IMEI、通讯录、短信、图片等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。5.66%App向用户明示SDK的收集使用规则，但未见清晰明示SDK收集设备MAC地址、软件安装列表等的目的方式范围，用户同意隐私政策后，SDK存在收集设备MAC地址、软件安装列表的行为。0.03%App向用户明示SDK的收集使用规则，未经用户同意，SDK存在收集IMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。0.02%由SDK引起的个人信息违规类型分布嵌入境外SDK应用中疑似访问境外ip情况由SDK引起的访问境外ip地域分布移动应用大数据平台通过对部分境外SDK触发的敏感行为分析，共发现27境外SDK的敏感行为3.全国移动互联网应用在个人信息保护方面情况概述App个人信息安全合规问题2023年移动应用大数据平台针对全国Android应用进行了个人信息合规性抽样检测，总计送检15万+款应用。其中，存在“App频繁自启动和关联启动”Android应用违规类型分布占检测应用总量的96.37%；其次是申请读取外部存储权限的应用，据传输至境外服务器”的移动应用占比13.53%。数据流向多个国家和地区。排类应用占该类型检测总量的47.57%，排名第一；影音播放类应用占该类型检测议有关机构督促开发者针对“传输”做到加密处理。下图为存在明文传输的移动应用大数据平台通过对部分境外SDK触发的敏感行为分析，共发现4.全国通报应用概况4.1.通报应用总量综合情况4.2.通报应用区域分布情况根据通报应用所属区域来看，通报广东省应用数量占总量的19.57%，位居第一；通报北京市应用数量占总量的11.05%，位居第二；通报四川省应用数量4.3.通报应用功能类型分布情况根据通报应用所属功能分类来看，生活实用类应用通报数量占总量的21.09%，位居第一；办公学习类应用通报数量占总量的17.27%，位居第二；网4.4.通报应用版本仍有效渠道分布情况4.5.通报个人信息问题类型分布情况通报类型2023年2022年趋势违规收集个人信息47.06%36.97%↑App强制、频繁、过度索取权限29.91%26.58%↑App频繁自启动和关联启动13.51%2.61%↑超范围收集个人信息8.93%5.11%↑违规使用个人信息7.76%5.49%↑未公开收集使用规则6.87%3.14%↑未明示收集使用个人信息的目的、方式和范围5.23%5.49%↓强制用户使用定向推送功能4.47%10.97%↓违反必要原则，收集与其提供的服务无关的个人信息4.00%7.30%↓欺骗误导强迫用户3.11%1.28%↑SDKSDK的通报问题分析5.全国移动互联网应用漏洞风险概况5.1.各等级风险漏洞情况洞扫描。检查结果显示：有高达76.89%的应用被识别为高危应用。这个比例相5.2.各风险漏洞类型应用排行情况攻击，造成用户隐私泄露或直接的财产损失，应用运营者/开发者应采取安全加漏洞类型2023年2022年2021年趋势Janus漏洞70.59%75.41%57.94%截屏攻击风险64.17%68.56%53.82%未移除有风险的WebView系统隐藏接口漏洞63.58%67.38%50.76%模拟器运行风险61.24%65.35%49.91%Java代码加壳检测60.01%64.11%50.64%日志数据泄露风险58.99%63.07%49.90%全局异常58.20%62.13%47.82%终端ROOT状态检测57.60%61.45%46.46%URL硬编码风险53.63%57.40%46.04%WebViewFile域同源策略绕过漏洞50.87%54.37%43.10%5.3.各功能类型存在高危风险漏洞的应用排行情况紧随其后的是拍摄美化类应用，存在高危漏洞的应用数量占检测总量的88.4%。第三名是系统工具类应用，高与过去两年的数据相比，2023年移动应用存在的高危漏洞比例总体上超过6.全国移动互联网应用植入恶意程序情况概况从功能类型来看，游戏应用类存在恶意应用的数量占全国恶意应用总量的49.66%，位居第一；金融理财类存在恶意应用的数量占全国恶意应用总量的7.移动互联网应用盗版/仿冒情况分析针对有更新的应用进行盗版/仿冒检测，检测结果统计显示疑似盗版仿冒的占比9.72%。盗版/仿冒应用多数分发在小渠道中（小渠道是指应用数量相对较开发/运营者且部分小渠道的服务器放在境外，没有在国内进行备案，无法准确VPN作为种可以在公共网络上建立加密通道的技术，使用者可以通过对数据包的加密和数据包目标地址的转换实现远程访问，可是使用未经授权的VPN8.移动互联网应用技术安全保护措施8.1.未采取技术安全保护措施的应用占比情况安全保护措施的应用占总量的91.06%。应用如果不进行技术安全保护措施会无这些数据表明，尽管有一小部分应用已经采取了某种形式的技术安全保护总之，虽然目前大部分应用尚未采取技术安全保护措施，但通过持续的努8.2.未采取技术安全保护措施的应用功能类型分布通过对未采取技术安全保护措施的应用功能类型进行统计发现，游戏类未采取技术安全保护措施应用占该类型应用总量的91.64%，排名第一；其次是拍类型总量的88.43%。在各功能类型中，游戏类应用未采取技术安全保护措施占9.未成年人网络保护条例9.1.我国未成年人网络保护背景及特点随着互联网的普及和发展，未成年人的上网行为和习惯也在发生变化1.未成年人的互联网普及率：2021年上网设备，手机是最主要的上网设备。工作日和节假日的平均上网时长分别为9.2.未成年人使用移动应用风险分析与网络的主要行为，2023年6月初，某社交软件存在若干注册用户上传发布大9.3.未成年人使用移动应用的建议10.个人信息安全保护措施App后，普通用户通常下载的App平均数量为49个，其1、27.5%的App存在索取敏感权限的问题，可以看出在日常