前言
随着智能手機和平闆電腦等移動設備用戶數量的劇增,移動應用的數量和種類亦在不斷膨脹,加速了數字化轉型的步伐。然而,伴随着這一增長的是移動應用安全形勢的日益嚴峻。我們見證了惡意軟件的猖獗、數據洩露事件的頻發以及隐私侵犯問題的嚴重性,這些不僅威脅到廣大個人用戶的信息安全,也會對企業的數據資産構成潛在的風險。
爲了深入剖析複雜且多變的安全環境,并爲所有監管機構、企業、開發者提供參考,愛加密和中國電信研究院依托其專業的技術團隊,利用我們在大數據分析和移動安全領域的專業知識,精心編撰了《2023 年全國移動應用安全觀測報告》。
報告全文較長将分爲 2 篇文章發布,可于文末獲取全文。
全國移動互聯網應用概況
全國移動互聯網應用總量綜合情況
截至 2023 年,移動應用安全大數據平台收錄全國 Android 應用共計 453 萬款,iOS 應用共計 295 萬款,微信公衆号 621 萬個,微信小程序 360 萬個。2023 年年度,全國總計更新及新上架的應用共計 27 萬款。
近三年全國總量綜合情況(單位:萬)
全國活躍移動互聯網應用功能類型分布情況
截至到 2023 年 12 月 31 日,全國活躍應用總計 7 萬款。從功能類型來看,遊戲類應用活躍度較高,占全國活躍應用總量的 27%,位居第一,近三年對比,遊戲應用遠低于以往兩年;生活實用類應用數量占全國活躍應用的 16%,位居第二;辦公學習類應用數量占全國活躍應用的 12%,位居第三。
全國活躍應用功能分類情況
漏洞風險概況
各等級風險漏洞情況
移動應用大數據平台利用安全檢測引擎對有更新的應用,進行 140 項漏洞掃描。檢查結果顯示:有高達 76.89% 的應用被識别爲高危應用。這個比例相比于過去兩年有了 2.02% 的小幅增長。數據表明,盡管我們在技術和安全措施上有所進步,但高危漏洞在移動互聯網應用中的存在仍然是一個嚴重的問題,因爲它意味着我們的個人信息、财務信息和其他重要數據可能會因爲這些漏洞而受到威脅。
Android 應用不同風險等級漏洞的應用占比
各風險漏洞類型應用排行情況
截至 2023 年 12 月 31 日,全國 351 萬款 Android 應用通過移動應用安全平台進行風險檢測,有高危漏洞的應用約 239 萬款,占應用總數的 76.89%。
本年度排名前三的漏洞分别是:"Janus 漏洞 "、" 截屏攻擊風險 "、" 未移除有風險的 WebView 系統隐藏接口漏洞 "。
存在漏洞較多的移動應用更加容易受到攻擊,造成用戶隐私洩露或直接的财産損失,應用運營者 / 開發者應采取安全加固等有效措施,防範和應對網絡攻擊,保障系統安全平穩運行。詳見下圖:
Android 應用漏洞類型排行
各功能類型存在高危風險漏洞的應用排行情況
我們發現某些類型的應用存在高危漏洞的風險特别高。具體來看,主題壁紙類應用其存在高危漏洞的應用數量占到了我們檢測總量的 92.0%,緊随其後的是拍攝美化類應用,存在高危漏洞的應用數量占檢測總量的 88.4%。第三名是系統工具類應用,高危漏洞的應用數量占檢測總量的 86.9%。
與過去兩年的數據相比,2023 年移動應用存在的高危漏洞比例總體上超過了 80%,這一趨勢表明移動應用的安全問題仍然十分嚴峻。當移動應用存在漏洞時,它們很可能成爲攻擊者的目标。攻擊者可以利用這些漏洞進行惡意攻擊,不僅可能導緻用戶數據的洩露,還可能篡改數據,給用戶帶來嚴重的隐私和财産損失。
存在高危漏洞風險的應用功能類型占比 TOP10
植入惡意程序情況概況
近年來,移動互聯網應用植入惡意程序的情況近年來呈現出增長的趨勢,這些惡意程序可能會竊取用戶的個人信息、破壞系統、惡意扣費、彈出廣告等,對移動用戶的個人信息及财産安全帶來巨大的威脅。
主要惡意程序風險描述
截至 2023 年 12 月,全國累計含有惡意程序的應用 29 萬款,其中惡意程序類型以 " 流氓行爲 " 爲主,這些惡意程序主要存在對移動用戶的隐私數據收集、惡意扣費、流量資源消耗、系統破壞和廣告推送等多種惡意行爲,對移動用戶的個人信息及财産安全帶來巨大的威脅。詳見下圖:
惡意程序類型統計表
惡意應用功能類型分布情況
從功能類型來看,遊戲應用類存在惡意應用的數量占全國惡意應用總量的 49.66%,位居第一,遠超其他類型應用。這類惡意軟件可能會以廣告軟件的形式出現,通過彈窗廣告幹擾用戶,或者更糟糕的是,利用用戶浏覽器的漏洞進行偷渡式下載,安裝惡意程序到用戶的設備上,模仿流行遊戲的惡意軟件和不需要的軟件;詳情見下圖:
惡意應用功能類型分布 TOP10
盜版 / 仿冒情況分析
仿冒盜版應用的猖獗會危害正版軟件市場的發展和創新,給真正的開發運營者帶來名譽及利益損害。2023 年,中國信息通信研究院推行 App 簽名服務系統,用戶可以通過應用簽名和驗證識别正版應用,從而避免下載和使用未經認證的應用可能帶來的風險。
盜版 / 仿冒應用功能類型分布情況
針對有更新的應用進行盜版 / 仿冒檢測,檢測結果統計顯示疑似盜版仿冒的應用共計 14 萬款,從應用功能類型分布來看,排名前三的功能類型爲:遊戲類、生活實用類、影音播放類。
盜版 / 仿冒應用功能類型分布 TOP10
技術安全保護措施
未采取技術安全保護措施的應用占比情況
對全國移動應用中未采取技術安全保護措施的應用(即未加固應用)情況進行統計,已采取技術安全保護措施的應用總計 40 萬款,占 8.94%,未采取技術安全保護措施的應用占總量的 91.06%。應用如果不進行技術安全保護措施會無法确保應用安全,無法防止被破解、二次打包、惡意篡改等。近三年未采取技術安全保護措施的應用占比變化如下:
近三年未采取技術安全保護措施的應用占比
建議開發者、服務提供商以及相關政策制定者加強對移動應用安全性的關注。特别是對于未采取安全措施的應用,應進行詳細的風險評估,并采取适當的安全加固措施。此外,用戶也應提高對應用安全性的認識,選擇那些已采取安全措施的應用進行下載和使用。
未采取技術安全保護措施的應用功能類型分布情況
通過對未采取技術安全保護措施的應用功能類型進行統計發現,遊戲類未采取技術安全保護措施應用占該類型應用總量的 91.64%,排名第一。遊戲類應用通常涉及用戶的互動和虛拟财産交易,如果沒有适當的安全措施,它們容易成爲黑客攻擊的目标。黑客可以通過植入惡意代碼來竊取用戶數據,或者通過篡改遊戲内的支付渠道來實施詐騙。此外,未經授權的第三方也可能通過插入廣告代碼來篡改遊戲内容,不僅損害了玩家的遊戲體驗,也侵蝕了開發者的收益。詳見下圖:
未采取技術安全保護措施應用功能類型分布 TOP10
愛加密移動應用安全加固平台可爲開發者提供全面的移動應用安全加固技術,包括 Android 應用加固、iOS 加固、遊戲應用加固、H5 文件加固、微信小程序加固、SDK 加固和源對源混淆加固技術等技術,從根本上解決移動應用的安全缺陷和風險,使加固後的移動應用具備防逆向分析、防二次打包、防動态調試、防進程注入、防數據篡改等安全保護能力。
産品擁有五大優勢:
加固包增量小:加密後包增量大小不超過原包 " ± 5%"。
兼容性好:加固包兼容性高達 99%,實現 ART 全面兼容。
全面的移動應用安全加固技術:支持 Android 應用加固、iOS 應用加固、遊戲應用加固、H5 文件加固、Android SDK 加固、so 文件加固。
高效的性能,節約時間:應用加固時間短,可即時獲取加固後的應用。
無人工操作,節約成本:全自動一鍵操作,無需專業的安全技術人員參與,大幅降低人力開銷及技術學習成本。
本文僅摘選《2023 全國移動應用安全觀測報告》部分内容
訪問嘶吼報告專題中 " 廠商報告 ",可免費獲得本報告全文:https://www.4hou.com/new-report-other-info