全國移動(dòng)互聯(lián)網(wǎng)應(yīng)用總量綜合情況
截至 2023 年,移動(dòng)應(yīng)用安全大數(shù)據(jù)平臺(tái)收錄全國 Android 應(yīng)用共計(jì) 453 萬款,iOS 應(yīng)用共計(jì) 295 萬款,微信公眾號(hào) 621 萬個(gè),微信小程序 360 萬個(gè)。2023 年年度,全國總計(jì)更新及新上架的應(yīng)用共計(jì) 27 萬款。
近三年全國總量綜合情況(單位:萬)
全國活躍移動(dòng)互聯(lián)網(wǎng)應(yīng)用功能類型分布情況
截至到 2023 年 12 月 31 日,全國活躍應(yīng)用總計(jì) 7 萬款。從功能類型來看,游戲類應(yīng)用活躍度較高,占全國活躍應(yīng)用總量的 27%,位居第一,近三年對(duì)比,游戲應(yīng)用遠(yuǎn)低于以往兩年;生活實(shí)用類應(yīng)用數(shù)量占全國活躍應(yīng)用的 16%,位居第二;辦公學(xué)習(xí)類應(yīng)用數(shù)量占全國活躍應(yīng)用的 12%,位居第三。
全國活躍應(yīng)用功能分類情況
漏洞風(fēng)險(xiǎn)概況
各等級(jí)風(fēng)險(xiǎn)漏洞情況
移動(dòng)應(yīng)用大數(shù)據(jù)平臺(tái)利用安全檢測(cè)引擎對(duì)有更新的應(yīng)用,進(jìn)行 140 項(xiàng)漏洞掃描。檢查結(jié)果顯示:有高達(dá) 76.89% 的應(yīng)用被識(shí)別為高危應(yīng)用。這個(gè)比例相比于過去兩年有了 2.02% 的小幅增長。數(shù)據(jù)表明,盡管我們?cè)诩夹g(shù)和安全措施上有所進(jìn)步,但高危漏洞在移動(dòng)互聯(lián)網(wǎng)應(yīng)用中的存在仍然是一個(gè)嚴(yán)重的問題,因?yàn)樗馕吨覀兊膫€(gè)人信息、財(cái)務(wù)信息和其他重要數(shù)據(jù)可能會(huì)因?yàn)檫@些漏洞而受到威脅。
Android 應(yīng)用不同風(fēng)險(xiǎn)等級(jí)漏洞的應(yīng)用占比
各風(fēng)險(xiǎn)漏洞類型應(yīng)用排行情況
截至 2023 年 12 月 31 日,全國 351 萬款 Android 應(yīng)用通過移動(dòng)應(yīng)用安全平臺(tái)進(jìn)行風(fēng)險(xiǎn)檢測(cè),有高危漏洞的應(yīng)用約 239 萬款,占應(yīng)用總數(shù)的 76.89%。
本年度排名前三的漏洞分別是:"Janus 漏洞 "、" 截屏攻擊風(fēng)險(xiǎn) "、" 未移除有風(fēng)險(xiǎn)的 WebView 系統(tǒng)隱藏接口漏洞 "。
存在漏洞較多的移動(dòng)應(yīng)用更加容易受到攻擊,造成用戶隱私泄露或直接的財(cái)產(chǎn)損失,應(yīng)用運(yùn)營者 / 開發(fā)者應(yīng)采取安全加固等有效措施,防范和應(yīng)對(duì)網(wǎng)絡(luò)攻擊,保障系統(tǒng)安全平穩(wěn)運(yùn)行。詳見下圖:
Android 應(yīng)用漏洞類型排行
各功能類型存在高危風(fēng)險(xiǎn)漏洞的應(yīng)用排行情況
我們發(fā)現(xiàn)某些類型的應(yīng)用存在高危漏洞的風(fēng)險(xiǎn)特別高。具體來看,主題壁紙類應(yīng)用其存在高危漏洞的應(yīng)用數(shù)量占到了我們檢測(cè)總量的 92.0%,緊隨其后的是拍攝美化類應(yīng)用,存在高危漏洞的應(yīng)用數(shù)量占檢測(cè)總量的 88.4%。第三名是系統(tǒng)工具類應(yīng)用,高危漏洞的應(yīng)用數(shù)量占檢測(cè)總量的 86.9%。
與過去兩年的數(shù)據(jù)相比,2023 年移動(dòng)應(yīng)用存在的高危漏洞比例總體上超過了 80%,這一趨勢(shì)表明移動(dòng)應(yīng)用的安全問題仍然十分嚴(yán)峻。當(dāng)移動(dòng)應(yīng)用存在漏洞時(shí),它們很可能成為攻擊者的目標(biāo)。攻擊者可以利用這些漏洞進(jìn)行惡意攻擊,不僅可能導(dǎo)致用戶數(shù)據(jù)的泄露,還可能篡改數(shù)據(jù),給用戶帶來嚴(yán)重的隱私和財(cái)產(chǎn)損失。
存在高危漏洞風(fēng)險(xiǎn)的應(yīng)用功能類型占比 TOP10
植入惡意程序情況概況
近年來,移動(dòng)互聯(lián)網(wǎng)應(yīng)用植入惡意程序的情況近年來呈現(xiàn)出增長的趨勢(shì),這些惡意程序可能會(huì)竊取用戶的個(gè)人信息、破壞系統(tǒng)、惡意扣費(fèi)、彈出廣告等,對(duì)移動(dòng)用戶的個(gè)人信息及財(cái)產(chǎn)安全帶來巨大的威脅。
主要惡意程序風(fēng)險(xiǎn)描述
截至 2023 年 12 月,全國累計(jì)含有惡意程序的應(yīng)用 29 萬款,其中惡意程序類型以 " 流氓行為 " 為主,這些惡意程序主要存在對(duì)移動(dòng)用戶的隱私數(shù)據(jù)收集、惡意扣費(fèi)、流量資源消耗、系統(tǒng)破壞和廣告推送等多種惡意行為,對(duì)移動(dòng)用戶的個(gè)人信息及財(cái)產(chǎn)安全帶來巨大的威脅。詳見下圖:
惡意程序類型統(tǒng)計(jì)表
惡意應(yīng)用功能類型分布情況
從功能類型來看,游戲應(yīng)用類存在惡意應(yīng)用的數(shù)量占全國惡意應(yīng)用總量的 49.66%,位居第一,遠(yuǎn)超其他類型應(yīng)用。這類惡意軟件可能會(huì)以廣告軟件的形式出現(xiàn),通過彈窗廣告干擾用戶,或者更糟糕的是,利用用戶瀏覽器的漏洞進(jìn)行偷渡式下載,安裝惡意程序到用戶的設(shè)備上,模仿流行游戲的惡意軟件和不需要的軟件;詳情見下圖:
惡意應(yīng)用功能類型分布 TOP10
盜版 / 仿冒情況分析
仿冒盜版應(yīng)用的猖獗會(huì)危害正版軟件市場(chǎng)的發(fā)展和創(chuàng)新,給真正的開發(fā)運(yùn)營者帶來名譽(yù)及利益損害。2023 年,中國信息通信研究院推行 App 簽名服務(wù)系統(tǒng),用戶可以通過應(yīng)用簽名和驗(yàn)證識(shí)別正版應(yīng)用,從而避免下載和使用未經(jīng)認(rèn)證的應(yīng)用可能帶來的風(fēng)險(xiǎn)。
盜版 / 仿冒應(yīng)用功能類型分布情況
針對(duì)有更新的應(yīng)用進(jìn)行盜版 / 仿冒檢測(cè),檢測(cè)結(jié)果統(tǒng)計(jì)顯示疑似盜版仿冒的應(yīng)用共計(jì) 14 萬款,從應(yīng)用功能類型分布來看,排名前三的功能類型為:游戲類、生活實(shí)用類、影音播放類。
盜版 / 仿冒應(yīng)用功能類型分布 TOP10
技術(shù)安全保護(hù)措施
未采取技術(shù)安全保護(hù)措施的應(yīng)用占比情況
對(duì)全國移動(dòng)應(yīng)用中未采取技術(shù)安全保護(hù)措施的應(yīng)用(即未加固應(yīng)用)情況進(jìn)行統(tǒng)計(jì),已采取技術(shù)安全保護(hù)措施的應(yīng)用總計(jì) 40 萬款,占 8.94%,未采取技術(shù)安全保護(hù)措施的應(yīng)用占總量的 91.06%。應(yīng)用如果不進(jìn)行技術(shù)安全保護(hù)措施會(huì)無法確保應(yīng)用安全,無法防止被破解、二次打包、惡意篡改等。近三年未采取技術(shù)安全保護(hù)措施的應(yīng)用占比變化如下:
近三年未采取技術(shù)安全保護(hù)措施的應(yīng)用占比
建議開發(fā)者、服務(wù)提供商以及相關(guān)政策制定者加強(qiáng)對(duì)移動(dòng)應(yīng)用安全性的關(guān)注。特別是對(duì)于未采取安全措施的應(yīng)用,應(yīng)進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估,并采取適當(dāng)?shù)陌踩庸檀胧4送猓脩粢矐?yīng)提高對(duì)應(yīng)用安全性的認(rèn)識(shí),選擇那些已采取安全措施的應(yīng)用進(jìn)行下載和使用。
未采取技術(shù)安全保護(hù)措施的應(yīng)用功能類型分布情況
通過對(duì)未采取技術(shù)安全保護(hù)措施的應(yīng)用功能類型進(jìn)行統(tǒng)計(jì)發(fā)現(xiàn),游戲類未采取技術(shù)安全保護(hù)措施應(yīng)用占該類型應(yīng)用總量的 91.64%,排名第一。游戲類應(yīng)用通常涉及用戶的互動(dòng)和虛擬財(cái)產(chǎn)交易,如果沒有適當(dāng)?shù)陌踩胧鼈內(nèi)菀壮蔀楹诳凸舻哪繕?biāo)。黑客可以通過植入惡意代碼來竊取用戶數(shù)據(jù),或者通過篡改游戲內(nèi)的支付渠道來實(shí)施詐騙。此外,未經(jīng)授權(quán)的第三方也可能通過插入廣告代碼來篡改游戲內(nèi)容,不僅損害了玩家的游戲體驗(yàn),也侵蝕了開發(fā)者的收益。詳見下圖:
未采取技術(shù)安全保護(hù)措施應(yīng)用功能類型分布 TOP10
