2023年全国移动应用安全观测报告

目 录前言 4全国移动互联网应用概况 6全国移动互联网应用总量综合情况 6全国移动应用分发渠道分布 7全国活跃移动互联网应用功能类型分布情况 8全国移动互联网应用地域分布情况 9全国移动互联网应用下载量情况 11境外SDK情况概述情况 12境外SDK及嵌入境外SDK应用情况分析 12嵌入境外SDK应用个人信息自动化检测违规情况 13嵌入境外SDK应用个人信息违规类型分析 14嵌入境外SDK应用中疑似访问境外ip情况分析 15境外SDK的敏感行为分析 16全国移动互联网应用在个人信息保护方面情况概述 17个人信息人工深度检测违规情况 17个人信息自动化检测违规情况 18应用申请使用权限情况 19数据跨境传输目的地分布情况 20数据明文传输类型情况 21应用敏感行为情况 22全国通报应用概况 23通报应用总量综合情况 23通报应用区域分布情况 24通报应用功能类型分布情况 24通报应用版本仍有效渠道分布情况 25通报个人信息问题类型分布情况 26全国移动互联网应用漏洞风险概况 27各等级风险漏洞情况 27各风险漏洞类型应用排行情况 28各功能类型存在高危风险漏洞的应用排行情况 29全国移动互联网应用植入恶意程序情况概况 30主要恶意程序风险描述 30恶意应用功能类型分布情况 30移动互联网应用盗版/仿冒情况分析 31盗版/仿冒应用功能类型分布情况 31盗版/仿冒应用分发渠道分布情况 322023年热点应用-ChatGPT分发渠道分布情况 332023年热点应用-VPN区域分布情况 34移动互联网应用技术安全保护措施 35未采取技术安全保护措施的应用占比情况 35未采取技术安全保护措施的应用功能类型分布情况 36未成年人网络保护条例 36我国未成年人网络保护背景及特点 36未成年人使用移动应用风险分析 37未成年人使用移动应用的建议 39个人信息安全保护措施 39移动应用个人隐私安全调研分析 39移动应用的数据安全防护的重要性 41公司介绍 42前言疫情后时代，经济增速的放缓，互联网和移动应用（App）安全，也会对企业的数据资产构成潜在的风险。未成年人在线保护等方面也有了新的指导方针。域的真实情况。并对特定行业和用户群体的安全问题给予了特别关注。（程序供更加全面和深入的视角。最后，我们期望本次编撰的《2023家能够更加了解充满挑战的移动应用领域。更可信的移动应用生态系统。全国移动互联网应用概况2023Android45329562136027都呈逐步增幅的情况。四个季度的新更新新上架应用量分别如下：近三年全国总量综合情况2023年全国四季度的新更新、新上架应用情况排名开发企业更新应用量1广州**网络科技有限公司8082北京**互联科技有限公司7933北京**科技发展有限公司排名开发企业更新应用量1广州**网络科技有限公司8082北京**互联科技有限公司7933北京**科技发展有限公司6744深圳**互娱网络有限公司5455北京**科技有限责任公司4786厦门**网络科技有限公司4217广州**互联网信息服务有限公司4138南京**网络科技有限公司3679北京**科技发展有限公司35810深**信息技术有限公司353全国开发者发布应用数量TOP102023年，移动应用安全大数据平台纳入监测的应用渠道数量总计有1900+AndroidAndroid72.54%；Android29.51%；贴吧论0.44%。（370424的渠道来看，vivo(App)3.245.50%2.739.00%；oppo(App)2.434.53%。移动端应用市场是更新发布应用的主要渠道：活跃应用在各渠道应用量排行TOP1020231231727%，12%，位居第三。全国活跃应用功能分类情况截止2023年12月底，全国453万款Android应用中有94万款可以根据明949%全国Android应用区域分布情况TOP10295iOS111119.71%；12.06%。全国iOS区域分布情况TOP10全国共有621万款微信公众号，有75万款可以根据明确的开发、运营主体757.42%。全国微信公众号区域分布情况TOP103602132136.76%。全国微信小程序区域分布情况TOP10排名图标应用名称开发者名称2023下载量（亿）2022下载量（亿）1排名图标应用名称开发者名称2023下载量（亿）2022下载量（亿）1拼多多上海寻梦信息技术有限公司10207652抖音北京微播视界科技有限公司9578073快手北京快手科技有限公司7425434百度百度在线网络技术（北京）有限公司6054765WiFi万能钥匙南京尚网网络科技有限公司5784346手机淘宝淘宝（中国）软件有限公司5584737QQ深圳市腾讯计算机系统有限公司5204898头条北京字节跳动科技有限公司5104459支付宝蚂蚁金服（杭州）网络技术有限公司48541310美团北京三快在线科技有限公司385297全国Android下载量排行TOP10SDK境外SDKSDKSDK4244SDK68.45%SDK境外SDK类型分布top10SDK5365514.98%、13.56%、12.33%。19.37%16.53%10.15%SDKTop10：嵌入境外SDK的应用的能类型及区域分布top10嵌入境外SDK移动应用大数据平台针对嵌入了境外SDK5.3App55.21%存在个人信息自动化检测违规情况。这部分存SDK24.09%。SDK应用个人信息自动化检测违规情况嵌入境外SDK“App36.46%；22.80%；存在“违规收集13.95%。详情如下：个人信息违规类型分布SDK“AppIMEI/MAC/软件安装列表等个人信息发送给友盟/极光/个推等第SDK9.79%；存在“AppSDK由SDK引起的个人信息违规占送检应用比例App未见向用户告知且未经用户同意，存在将IMEI/设备MAC地址/软件安装列表等个人信息发送给友盟/极光/个推等第三方SDK的行为。9.79%App由SDK引起的个人信息违规占送检应用比例App未见向用户告知且未经用户同意，存在将IMEI/设备MAC地址/软件安装列表等个人信息发送给友盟/极光/个推等第三方SDK的行为。9.79%AppSDK接或合理关联的范围。8.67%AppSDKSDK30s读取一次位置信息，非服务所必需且无合理应用场景，超出实现产品或服务的业务功能所必需的最低频率。7.51%AppSDK所声称的目的具有直接或合理关联的范围。5.66%AppSDKSDKMACMAC0.03%AppSDKSDKIMEI、设备MAC地址和软件安装列表、通讯录和短信的行为。0.02%由SDK引起的个人信息违规类型分布嵌入境外SDKipSDKip47.84SDKip21.77%。嵌入境外SDK应用中疑似访问境外ip情况SDKip21.77%23.10%。由SDK引起的访问境外ip地域分布境外SDKSDK27SDK58.3329.6311.11%。境外SDK的敏感行为全国移动互联网应用在个人信息保护方面情况概述2023App201919119152.45%，14.44%。详见下图：App个人信息安全合规问题2023Android15“App16211而广大用户则需要增强隐私保护意识，不轻易安装来源不明的移动应用。Android应用违规类型分布Android96.37%；其次是申请读取外部存储权限的应用，占应用总量95.49%；86.54%。大Android应用申请权限TOP1015Android13.53%。数据流向多个国家和地区。排47.42%,36.73%；23.27%。Android应用数据跨境传输目的地TOP1047.57%，排名第一；影音播放类应用占该类型检测三。涉及数据跨境传输Android应用的功能分类TOP1031118Android67.0%26.6%21.8%议有关机构督促开发者针对“传输”做到加密处理。下图为存在明文传输的AndroidAndroid应用传输个人信息类型移动应用大数据平台通过对部分境外SDK触发的敏感行为分析，共发现54418SDK48.240.7%；23.9%。Android应用敏感行为类型全国通报应用概况20231890Android170290.05%；924.87%；iOS2.86%。个人信息违规通报资产分布20231702132377.73%；22413.16%；各1227.17%。个人信息违规通报机构分布根据通报应用所属区域来看，通报广东省应用数量占总量的19.57%，位居第一；通报北京市应用数量占总量的11.05%，位居第二；通报四川省应用数量占总量的9.52%，位居第三。下图为全国通报应用区域分布情况：通报应用区域分布TOP10根据通报应用所属功能分类来看，生活实用类应用通报数量占总量的21.0917.27%，位居第二；网况：通报应用功能分类分布TOP10从通报应用的通报版本来看，通过跟踪通报的1702款移动应用相关版本的578其中乐商店、2265各渠道排行TOP10通报类型2023年2022年趋势违规收集个人信息47.06%36.97%↑App强制、频繁、过度索取权限29.91%26.58%↑通报类型2023年2022年趋势违规收集个人信息47.06%36.97%↑App强制、频繁、过度索取权限29.91%26.58%↑App频繁自启动和关联启动13.51%2.61%↑超范围收集个人信息8.93%5.11%↑违规使用个人信息7.76%5.49%↑未公开收集使用规则6.87%3.14%↑未明示收集使用个人信息的目的、方式和范围5.23%5.49%↓强制用户使用定向推送功能4.47%10.97%↓违反必要原则，收集与其提供的服务无关的个人信息4.00%7.30%↓欺骗误导强迫用户3.11%1.28%↑个人信息违规类型分布TOP10SDK56SDKSDKSDK详情如下：SDK的通报问题分析全国移动互联网应用漏洞风险概况14076.89%的应用被识别为高危应用。这个比例相比于2.02%Android应用不同风险等级漏洞的应用占比漏洞类型2023年2022年2021年趋势Janus漏洞70.59%75.41%57.94%截屏攻击风险64.17%68.56%53.82%未移除有风险的WebView系统隐藏接口漏洞63.58%67.38%50.76%模拟器运行风险61.24%65.35%49.91%Java代码加壳检测漏洞类型2023年2022年2021年趋势Janus漏洞70.59%75.41%57.94%截屏攻击风险64.17%68.56%53.82%未移除有风险的WebView系统隐藏接口漏洞63.58%67.38%50.76%模拟器运行风险61.24%65.35%49.91%Java代码加壳检测60.01%64.11%50.64%日志数据泄露风险58.99%63.07%49.90%全局异常58.20%62.13%47.82%终端ROOT状态检测57.60%61.45%46.46%URL硬编码风险53.63%57.40%46.04%WebViewFile域同源策略绕过漏洞50.87%54.37%43.10%Android应用漏洞类型排行高的。这意味着，几乎每一款主题壁纸类应用都可能存在至少一个高危漏洞。紧随其后的是拍摄美化类应用，存在高危漏洞的应用数量占检测总量的88.4%86.9%。与过去两年的数据相比，2023失。存在高危漏洞风险的应用功能类型占比TOP10全国移动互联网应用植入恶意程序情况概况移动用户的个人信息及财产安全带来巨大的威胁。20231229恶意程序类型统计表从功能类型来看，游戏应用类存在恶意应用的数量占全国恶意应用总量的49.66%，位居第一；金融理财类存在恶意应用的数量占全国恶意应用总量的恶意应用功能类型分布TOP10移动互联网应用盗版/仿冒情况分析2023App盗版/针对有更新的应用进行盗版/仿冒检测，检测结果统计显示疑似盗版仿冒的14生活实用类、影音播放类。盗版/仿冒应用功能类型分布TOP10盗版/从盗版/11.08%；排名第三的是“跑跑车”，9.72%。盗版/仿冒应用多数分发在小渠道中（小渠道是指应用数量相对较因为盗版和仿冒应用往往存在安全隐患，可能包含恶意软件或病毒。国际合作机制，对于维护健康的网络环境和保护知识产权至关重要。盗版/仿冒应用分发渠道TOP107.3.2023ChatGPT2023ChatGPTChatGPTChatGPT“3604.54%ChatGPTChatGPT类型应用的分发渠道TOP107.4.2023年热点应用-VPN区域分布情况VPN据包的加密和数据包目标地址的转换实现远程访问，可是使用未经授权的VPNVPN19.44%；17.40%；15.18%。VPN类型应用的分发渠道TOP10移动互联网应用技术安全保护措施（即未加固应用408.94%，未采取技术91.06%。应用如果不进行技术安全保护措施会无安全保护措施的应用占比变化如下：近三年未采取技术安全保护措施的应用占比这些数据表明，尽管有一小部分应用已经采取了某种形式的技术安全保护全。91.64%，排名第一；其次是拍89.96%；排名第三的是资讯阅读类应用，占该88.43%。在各功能类型中，游戏类应用未采取技术安全保护措施占发者的收益。详见下图：未采取技术安全保护措施应用功能类型分布TOP10未成年人网络保护条例他们上网的主要目的。未成年人的互联网普及率：20211.996.8%，其中农村未成年人的互联网普及率首次超过城镇。上网设备，手机是最主要的上网设备。工作日和节假日的平均上网时长分别为44.9分