信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”，作者/愛加密。

隨著智能手機和平板電腦等移動設備用戶數(shù)量的劇增，移動應用的數(shù)量和種類亦在不斷膨脹，加速了數(shù)字化轉型的步伐。然而，伴隨著這一增長的是移動應用安全形勢的日益嚴峻。我們見證了惡意軟件的猖獗、數(shù)據(jù)泄露事件的頻發(fā)以及隱私侵犯問題的嚴重性，這些不僅威脅到廣大個人用戶的信息安全，也會對企業(yè)的數(shù)據(jù)資產(chǎn)構成潛在的風險。

為了深入剖析復雜且多變的安全環(huán)境，并為所有監(jiān)管機構、企業(yè)、開發(fā)者提供參考，愛加密和中國電信研究院依托其專業(yè)的技術團隊，利用大數(shù)據(jù)分析和移動安全領域的專業(yè)知識，精心編撰了《2023年全國移動應用安全觀測報告》。

報告全文較長將分為2篇文章發(fā)布，可于文末獲取全文。

全國移動互聯(lián)網(wǎng)應用概況

全國移動互聯(lián)網(wǎng)應用總量綜合情況

截至2023年，移動應用安全大數(shù)據(jù)平臺收錄全國Android應用共計453萬款，iOS應用共計295萬款，微信公眾號621萬個，微信小程序360萬個。2023年年度，全國總計更新及新上架的應用共計27萬款。

近三年全國總量綜合情況（單位：萬）

全國活躍移動互聯(lián)網(wǎng)應用功能類型分布情況

截至到2023年12月31日，全國活躍應用總計7萬款。從功能類型來看，游戲類應用活躍度較高，占全國活躍應用總量的27%，位居第一，近三年對比，游戲應用遠低于以往兩年；生活實用類應用數(shù)量占全國活躍應用的16%，位居第二；辦公學習類應用數(shù)量占全國活躍應用的12%，位居第三。

全國活躍應用功能分類情況

漏洞風險概況

各等級風險漏洞情況移動應用大數(shù)據(jù)平臺利用安全檢測引擎對有更新的應用，進行140項漏洞掃描。檢查結果顯示：有高達76.89%的應用被識別為高危應用。這個比例相比于過去兩年有了2.02%的小幅增長。數(shù)據(jù)表明，盡管我們在技術和安全措施上有所進步，但高危漏洞在移動互聯(lián)網(wǎng)應用中的存在仍然是一個嚴重的問題，因為它意味著我們的個人信息、財務信息和其他重要數(shù)據(jù)可能會因為這些漏洞而受到威脅。

Android應用不同風險等級漏洞的應用占比

各風險漏洞類型應用排行情況

截至2023年12月31日，全國351萬款Android應用通過移動應用安全平臺進行風險檢測，有高危漏洞的應用約239萬款，占應用總數(shù)的76.89%。本年度排名前三的漏洞分別是：“Janus漏洞”、“截屏攻擊風險”、“未移除有風險的WebView系統(tǒng)隱藏接口漏洞”。存在漏洞較多的移動應用更加容易受到攻擊，造成用戶隱私泄露或直接的財產(chǎn)損失，應用運營者/開發(fā)者應采取安全加固等有效措施，防范和應對網(wǎng)絡攻擊，保障系統(tǒng)安全平穩(wěn)運行。詳見下圖：

Android應用漏洞類型排行

各功能類型存在高危風險漏洞的應用排行情況

我們發(fā)現(xiàn)某些類型的應用存在高危漏洞的風險特別高。具體來看，主題壁紙類應用其存在高危漏洞的應用數(shù)量占到了我們檢測總量的92.0%，緊隨其后的是拍攝美化類應用，存在高危漏洞的應用數(shù)量占檢測總量的88.4%。第三名是系統(tǒng)工具類應用，高危漏洞的應用數(shù)量占檢測總量的86.9%。

與過去兩年的數(shù)據(jù)相比，2023年移動應用存在的高危漏洞比例總體上超過了80%，這一趨勢表明移動應用的安全問題仍然十分嚴峻。當移動應用存在漏洞時，它們很可能成為攻擊者的目標。攻擊者可以利用這些漏洞進行惡意攻擊，不僅可能導致用戶數(shù)據(jù)的泄露，還可能篡改數(shù)據(jù)，給用戶帶來嚴重的隱私和財產(chǎn)損失。

存在高危漏洞風險的應用功能類型占比TOP10

植入惡意程序情況概況

近年來，移動互聯(lián)網(wǎng)應用植入惡意程序的情況近年來呈現(xiàn)出增長的趨勢，這些惡意程序可能會竊取用戶的個人信息、破壞系統(tǒng)、惡意扣費、彈出廣告等，對移動用戶的個人信息及財產(chǎn)安全帶來巨大的威脅。

主要惡意程序風險描述

截至2023年12月，全國累計含有惡意程序的應用29萬款，其中惡意程序類型以“流氓行為”為主，這些惡意程序主要存在對移動用戶的隱私數(shù)據(jù)收集、惡意扣費、流量資源消耗、系統(tǒng)破壞和廣告推送等多種惡意行為，對移動用戶的個人信息及財產(chǎn)安全帶來巨大的威脅。詳見下圖：

惡意程序類型統(tǒng)計表

惡意應用功能類型分布情況

從功能類型來看，游戲應用類存在惡意應用的數(shù)量占全國惡意應用總量的49.66%，位居第一，遠超其他類型應用。這類惡意軟件可能會以廣告軟件的形式出現(xiàn)，通過彈窗廣告干擾用戶，或者更糟糕的是，利用用戶瀏覽器的漏洞進行偷渡式下載，安裝惡意程序到用戶的設備上，模仿流行游戲的惡意軟件和不需要的軟件；詳情見下圖：

惡意應用功能類型分布TOP10

盜版/仿冒情況分析

仿冒盜版應用的猖獗會危害正版軟件市場的發(fā)展和創(chuàng)新，給真正的開發(fā)運營者帶來名譽及利益損害。2023年，中國信息通信研究院推行App簽名服務系統(tǒng)，用戶可以通過應用簽名和驗證識別正版應用，從而避免下載和使用未經(jīng)認證的應用可能帶來的風險。

盜版/仿冒應用功能類型分布情況

針對有更新的應用進行盜版/仿冒檢測，檢測結果統(tǒng)計顯示疑似盜版仿冒的應用共計14萬款，從應用功能類型分布來看，排名前三的功能類型為：游戲類、生活實用類、影音播放類。

盜版/仿冒應用功能類型分布TOP10

技術安全保護措施

未采取技術安全保護措施的應用占比情況

對全國移動應用中未采取技術安全保護措施的應用（即未加固應用）情況進行統(tǒng)計，已采取技術安全保護措施的應用總計40萬款，占8.94%，未采取技術安全保護措施的應用占總量的91.06%。應用如果不進行技術安全保護措施會無法確保應用安全，無法防止被破解、二次打包、惡意篡改等。近三年未采取技術安全保護措施的應用占比變化如下：

近三年未采取技術安全保護措施的應用占比

建議開發(fā)者、服務提供商以及相關政策制定者加強對移動應用安全性的關注。特別是對于未采取安全措施的應用，應進行詳細的風險評估，并采取適當?shù)陌踩庸檀胧?。此外，用戶也應提高對應用安全性的認識，選擇那些已采取安全措施的應用進行下載和使用。

未采取技術安全保護措施的應用功能類型分布情況

通過對未采取技術安全保護措施的應用功能類型進行統(tǒng)計發(fā)現(xiàn)，游戲類未采取技術安全保護措施應用占該類型應用總量的91.64%，排名第一。游戲類應用通常涉及用戶的互動和虛擬財產(chǎn)交易，如果沒有適當?shù)陌踩胧?，它們?nèi)菀壮蔀楹诳凸舻哪繕?。黑客可以通過植入惡意代碼來竊取用戶數(shù)據(jù)，或者通過篡改游戲內(nèi)的支付渠道來實施詐騙。此外，未經(jīng)授權的第三方也可能通過插入廣告代碼來篡改游戲內(nèi)容，不僅損害了玩家的游戲體驗，也侵蝕了開發(fā)者的收益。詳見下圖：

未采取技術安全保護措施應用功能類型分布TOP10

愛加密移動應用安全加固平臺可為開發(fā)者提供全面的移動應用安全加固技術，包括Android應用加固、iOS加固、游戲應用加固、H5文件加固、微信小程序加固、SDK加固和源對源混淆加固技術等技術，從根本上解決移動應用的安全缺陷和風險，使加固后的移動應用具備防逆向分析、防二次打包、防動態(tài)調(diào)試、防進程注入、防數(shù)據(jù)篡改等安全保護能力。

產(chǎn)品擁有五大優(yōu)勢：

加固包增量?。?/strong>加密后包增量大小不超過原包“±5%”。

兼容性好：加固包兼容性高達99%，實現(xiàn)ART全面兼容。

全面的移動應用安全加固技術：支持Android應用加固、iOS應用加固、游戲應用加固、H5文件加固、Android SDK加固、so文件加固。

高效的性能，節(jié)約時間：應用加固時間短，可即時獲取加固后的應用。

無人工操作，節(jié)約成本：全自動一鍵操作，無需專業(yè)的安全技術人員參與，大幅降低人力開銷及技術學習成本。

本文僅摘選《2023全國移動應用安全觀測報告》部分內(nèi)容