2023年全国移动应用安全观测报告.pdf

资源描述

1、2023 年年全全国国移移动动应应用用安安全全观观测测报报告告北京智游网安科技有限公司中国电信股份有限公司研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院目录前言.41.全国移动互联网应用概况.61.1.全国移动互联网应用总量综合情况.61.2.全国移动应用分发渠道分布.71.3.全国活跃移动互联网应用功能类型分布情况.81.4.全国移动互联网应用地域分布情况.91.5.全国移动互联网应用下载量情况.112.境外 SDK 情况概述情况.12

2、2.1.境外 SDK 及嵌入境外 SDK 应用情况分析.122.2.嵌入境外 SDK 应用个人信息自动化检测违规情况.132.3.嵌入境外 SDK 应用个人信息违规类型分析.142.4.嵌入境外 SDK 应用中疑似访问境外 ip 情况分析.152.5.境外 SDK 的敏感行为分析.163.全国移动互联网应用在个人信息保护方面情况概述.173.1.个人信息人工深度检测违规情况.173.2.个人信息自动化检测违规情况.183.3.应用申请使用权限情况.193.4.数据跨境传输目的地分布情况.203.5.数据明文传输类型情况.213.6.应用敏感行为情况.224.全国通报应用概况.234.1.通报应

3、用总量综合情况.234.2.通报应用区域分布情况.244.3.通报应用功能类型分布情况.244.4.通报应用版本仍有效渠道分布情况.254.5.通报个人信息问题类型分布情况.265.全国移动互联网应用漏洞风险概况.275.1.各等级风险漏洞情况.275.2.各风险漏洞类型应用排行情况.285.3.各功能类型存在高危风险漏洞的应用排行情况.296.全国移动互联网应用植入恶意程序情况概况.306.1.主要恶意程序风险描述.306.2.恶意应用功能类型分布情况.307.移动互联网应用盗版/仿冒情况分析.317.1.盗版/仿冒应用功能类型分布情况.317.2.盗版/仿冒应用分发渠道分布情况.327.3

4、.2023 年热点应用-ChatGPT 分发渠道分布情况.337.4.2023 年热点应用-VPN 区域分布情况.348.移动互联网应用技术安全保护措施.358.1.未采取技术安全保护措施的应用占比情况.358.2.未采取技术安全保护措施的应用功能类型分布情况.369.未成年人网络保护条例.36爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院9.1.我国未成年人网络保护背景及特点.369.2.未成年人使用移动应用风险分析.379.3.未成年人使用

5、移动应用的建议.3910.个人信息安全保护措施.3910.1.移动应用个人隐私安全调研分析.3910.2.移动应用的数据安全防护的重要性.4111.公司介绍.42爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院前言疫情后时代，经济增速的放缓，互联网和移动应用（App）已成为我们生活不可或缺的部分。全球性的发展危机迫使社会各层面迅速适应新常态，人们越来越多地转向线上活动，随着智能手机和平板电脑等移动设备用户数量的剧增，移动应用的数量和种类亦在不断膨

6、胀，加速了数字化转型的步伐。然而，伴随着这一增长的是移动应用安全形势的日益严峻。我们见证了恶意软件的猖獗、数据泄露事件的频发以及隐私侵犯问题的严重性，这些不仅威胁到广大个人用户的信息安全，也会对企业的数据资产构成潜在的风险。与此同时，各级政府和监管机构对移动应用的法规也在不断更新和完善，以应对快速变化的网络环境和保障用户权益。例如，对于数据的收集、处理和跨境传输有了更为严格的要求；用户隐私保护法律得到加强；对于应用内支付安全、未成年人在线保护等方面也有了新的指导方针。这些变化无疑为移动应用的开发、分发及运营带来了新的挑战和机遇。为了深入剖析这一复杂且多变的安全环境，并为所有环节相关者（无论是监

7、管机构、企业、开发者还是普通用户）提供参考价值，爱加密公司和中国电信研究院依托其专业的技术团队，利用我们在大数据分析和移动安全领域的专业知识，精心编撰了2023 年全国移动应用安全观测报告。本报告基于对过去一年全国移动应用安全事件的监测与分析，旨在描绘出移动应用安全的全貌，揭示安全隐患，并对未来的发展趋势进行预测。报告内容涵盖了移动应用渠道分析、全国通报概况、跨境传输分析、应用漏洞风险分析、技术保护措施、政策法规环境等多个维度，力求从多角度全面反映移动应用安全领域的真实情况。并对特定行业和用户群体的安全问题给予了特别关注。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密

8、中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院需要强调的是，随着移动技术和相关产业的持续进步，移动应用（尤其是小程序）安全的形势也在不断演变。因此，本报告中的观点和结论仅代表当前的研究和分析成果，我们将保持对移动应用安全动态的持续追踪，并期待未来能够提供更加全面和深入的视角。最后，我们期望本次编撰的2023 年全国移动应用安全观测报告能为广大读者提供实际价值。对于普通用户，我们希望通过这份报告提高他们的安全意识，帮助他们在享受移动应用带来的便利的同时，有效保护自己的信息安全。对于企业和监管机构，我们希望通过这份报告

9、提供的深入分析和建议，可以帮助大家能够更加了解充满挑战的移动应用领域。爱加密公司和中国电信研究院愿与读者们携手，共同致力于构建一个更安全、更可信的移动应用生态系统。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院1.全国移动互联网应用概况1.1.全国移动互联网应用总量综合情况截至 2023 年，移动应用安全大数据平台收录全国 Android 应用共计 453 万款，iOS 应用共计 295 万款，微信公众号 621 万个，微信小程序 360 万个

10、。2023年年度，全国总计新更新新上架的应用共计 27 万款，如图显示各类资产每年度都呈逐步增幅的情况。四个季度的新更新新上架应用量分别如下：近三年全国总量综合情况2023 年全国四季度的新更新、新上架应用情况爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院2023 年更新的 Android 应用中，有 46.59%的应用有明确的开发、运营主体，其余的是个人开发者或者没有实名登记开运营信息。从企业更新应用量来看（仅以应用上架发布的开发运营主体统计

11、，未以有股权关系的关联公司角度统计），广州*网络科技有限公司更新的应用产量位居第一；其次是北京*互联科技有限公司；北京*科技发展有限公司位列第三。排排名名开开发发企企业业更更新新应应用用量量1广州*网络科技有限公司8082北京*互联科技有限公司7933北京*科技发展有限公司6744深圳*互娱网络有限公司5455北京*科技有限责任公司4786厦门*网络科技有限公司4217广州*互联网信息服务有限公司4138南京*网络科技有限公司3679北京*科技发展有限公司35810深*信息技术有限公司353全国开发者发布应用数量 TOP101.2.全国移动应用分发渠道分布截至 2023 年，移动应用安全大数据

12、平台纳入监测的应用渠道数量总计有1900+个。其中，Android 应用市场（即 Android 网页分发渠道）渠道数量最多，占总渠道数量的 72.54%；Android 游戏市场，占总渠道数量的 29.51%；贴吧论坛等其它渠道，占总渠道数量的 0.44%。全国活跃应用（即 3 个月内有更新的应用）总计 70424 款。从活跃应用分布的渠道来看，vivo(App)共计发布应用 3.2 万款，占比 45.50%；小米应用商店共计发布应用 2.7 万款，占比 39.00%；oppo(App)，共计发布应用 2.4 万款，占比34.53%。移动端应用市场是更新发布应用的主要渠道：爱加密中国电信研

13、究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院活跃应用在各渠道应用量排行 TOP101.3.全国活跃移动互联网应用功能类型分布情况截至到 2023 年 12 月 31 日，全国活跃应用总计 7 万款。从功能类型来看，游戏类应用活跃度较高，占全国活跃应用总量的 27%，位居第一，近三年对比，游戏应用呈远低于以往两年；生活实用类应用数量占全国活跃应用的 16%，位居第二；办公学习类应用数量占全国活跃应用的 12%，位居第三。全国活跃应用功能分类情况爱加密中国电信研

14、究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院1.4.全国移动互联网应用地域分布情况截止 2023 年 12 月底，全国 453 万款 Android 应用中有 94 万款可以根据明确的开发、运营主体进行归属地划分，下列区域分布仅基于这 94 万款做分析。从区域来看，广东省应用产量位居第一，占全国应用总量的 28%；其次是北京市，占总量的 17%；上海市位列第三，占总量的 9%。以下是全国应用地域分布 TOP10：全国 Android 应用区域分布情况 TOP1

15、0全国共有 295 万款 iOS 应用，有 11 万款可以根据明确的开发、运营主体进行归属地划分，下列区域分布仅基于这 11 万款做分析。从区域来看，北京市应用数量位居第一，占全国应用总量的 20.35%；其次是广东省，占总量的 19.71%；上海市位列第三，占总量的 12.06%。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院全国 iOS 区域分布情况 TOP10全国共有 621 万款微信公众号，有 75 万款可以根据明确的开发、运营主体进行

16、归属地划分，下列区域分布仅基于这 75 万款做分析。从区域来看，广东省应用数量位居第一，占全国应用总量的 16.39%；其次是北京市，占总量的 8.72%；浙江省位列第三，占总量的 7.42%。全国微信公众号区域分布情况 TOP10全国共有 360 万款微信小程序，有 213 万款可以根据明确的开发、运营主体进行归属地划分，下列区域分布仅基于这 213 万款做分析。从区域来看，广东省爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院应用数量位居第一

17、，占全国应用总量的 16.52%；其次是山东省，占总量的 7.01%；江苏省位列第三，占总量的 6.76%。全国微信小程序区域分布情况 TOP101.5.全国移动互联网应用下载量情况截至 2023 年，结合各渠道的下载量统计，考虑渠道的权重（渠道的影响力，公信力，专业度）等综合因素进行分析，以下是 Android 下载量 TOP10 排行情况：排排名名图图标标应应用用名名称称开开发发者者名名称称2 20 02 23 3 年年下下载载量量（亿亿）2 20 02 22 2 年年下下载载量量（亿亿）1拼多多上海寻梦信息技术有限公司10207652抖音北京微播视界科技有限公司9578073快手北京快手

18、科技有限公司7425434百度百度在线网络技术（北京）有限公司6054765WiFi 万能钥匙南京尚网网络科技有限公司5784346手机淘宝淘宝（中国）软件有限公司5584737QQ深圳市腾讯计算机系统有限公司5204898头条北京字节跳动科技有限公司510445爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院9支付宝蚂蚁金服（杭州）网络技术有限公司48541310美团北京三快在线科技有限公司385297全国 Android 下载量排行 TOP1

19、02.境外 SDK 情况概述情况2.1.境外 SDK 及嵌入境外 SDK 应用情况分析根据移动应用大数据平台提供的数据，截至到当前，共计收录境外 SDK 4244款，其中框架类 SDK 占比较高，达到 68.45%。下图为境外 SDK 的详细类型占比：境外 SDK 类型分布 top10嵌入了境外 SDK 应用总计 53655 款。从这部分应用的功能类型来看，生活实用类、游戏类及办公学习类应用居多，占比分别为 14.98%、13.56%、12.33%。从应用分布区域来看，北京市、广东省以及四川省居多，占比为 19.37%、16.53%、10.15%。下图为嵌入境外 SDK 的应用功能类型及区域分

20、布 Top10：爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院嵌入境外 SDK 的应用的能类型及区域分布 top102.2.嵌入境外 SDK 应用个人信息自动化检测违规情况移动应用大数据平台针对嵌入了境外SDK的应用总计5.3万款App进行了个人信息合规性检测，其中 55.21%存在个人信息自动化检测违规情况。这部分存在违规情况的应用中，由 SDK 引起的违规情况占比为 24.09%。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信

21、研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院嵌入境外 SDK 应用个人信息自动化检测违规情况2.3.嵌入境外 SDK 应用个人信息违规类型分析从个人信息自动化检测结果来进行分析，存在“App 频繁自启动和关联启动”的占比 36.46%；存在“超范围收集个人信息”的占比 22.80%；存在“违规收集个人信息”的占比为 13.95%。详情如下：个人信息违规类型分布由 SDK 引起的违规情况中，存在“App 未见向用户告知且未经用户同意，存在将 IMEI/设备 MAC 地址/软件安装列表等个人信息发送给友盟

22、/极光/个推等第三方 SDK 的行为。”的占比 9.79%；存在“App 未向用户明示 SDK 的收集使用规爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院则，未经用户同意，SDK 在静默状态下或在后台运行时，存在收集通讯录、短信、通话记录、相机等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。”的占比 8.67%。由由 S SD DK K 引引起起的的个个人人信信息息违违规规占占送送检检应应用

23、用比比例例App 未见向用户告知且未经用户同意，存在将 IMEI/设备 MAC 地址/软件安装列表等个人信息发送给友盟/极光/个推等第三方 SDK 的行为。9.79%App 未向用户明示 SDK 的收集使用规则，未经用户同意，SDK 在静默状态下或在后台运行时，存在收集通讯录、短信、通话记录、相机等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。8.67%App 未见向用户明示 SDK 的收集使用规则，未经用户同意，SDK 存在每 30s读取一次位置信息，非服务所必需且无合理应用场景，超出实现产品或服务的业务功能所必需的最低频率。7.51%A

24、pp 未向用户明示 SDK 的收集使用规则，未经用户同意，SDK 在静默状态下或在后台运行时，存在按照一定频次收集位置信息、IMEI、通讯录、短信、图片等信息的行为，非服务所必需且无合理应用场景，超出与收集个人信息时所声称的目的具有直接或合理关联的范围。5.66%App 向用户明示 SDK 的收集使用规则，但未见清晰明示 SDK 收集设备 MAC 地址、软件安装列表等的目的方式范围，用户同意隐私政策后，SDK 存在收集设备 MAC 地址、软件安装列表的行为。0.03%App 向用户明示 SDK 的收集使用规则，未经用户同意，SDK 存在收集 IMEI、设备 MAC 地址和软件安装列表、通讯录和

25、短信的行为。0.02%由 SDK 引起的个人信息违规类型分布2.4.嵌入境外 SDK 应用中疑似访问境外 ip 情况分析针对全国嵌入境外 SDK 应用进行了个人信息合规性检测，发现疑似存在访问境外 ip 的移动应用占比 47.84%。其中，由 SDK 引起的境外 ip 访问应用的占比为 21.77%。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院嵌入境外 SDK 应用中疑似访问境外 ip 情况其中，由 SDK 引起的境外 ip 访问应用占比 2

26、1.77%。数据流向多个国家和地区。排名第一的目的地是美国，占比 65.86%；排名第二的是日本，占比 27.95%；排名第三的是新加坡，占比 23.10%。由 SDK 引起的访问境外 ip 地域分布2.5.境外 SDK 的敏感行为分析移动应用大数据平台通过对部分境外 SDK 触发的敏感行为分析，共发现 27款应用嵌入的境外 SDK 存在敏感行为。具体来看，“打开摄像头”这一行为占比爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院最高，为 58.

27、33%；排名第二的是“调用系统相机”，占比 29.63%；排名第三的是“获取电话号码”，占比为 11.11%。境外 SDK 的敏感行为3.全国移动互联网应用在个人信息保护方面情况概述3.1.个人信息人工深度检测违规情况2023 年人工针对 App 的个人信息安全合规问题进行抽样性检测，根据App违法违规收集使用个人信息行为认定方法（国信办秘字2019191 号）（以下简称191 号文），发现存在“未经用户同意收集使用个人信息”问题的应用数量最多，占检测总量的 52.45%，较之去年下降 14.44%。详见下图：爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研

28、究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院App 个人信息安全合规问题3.2.个人信息自动化检测违规情况2023 年移动应用大数据平台针对全国 Android 应用进行了个人信息合规性抽样检测，总计送检 15 万+款应用。其中，存在“App 频繁自启动和关联启动”的占比 21.98%，该检测项监控的范围由原先的 16 个广播，增加到了 211 个广播，监控的范围更广，检测出的自启动行为更多，远超于同期检测结果；存在“超范围收集个人信息”的占比 19.30%；存在“违规收集个人信息”的占比为 12.14%，同期对比持下降状态

29、。开发企业、运营企业作为责任主体应提高认识，严格自律，而广大用户则需要增强隐私保护意识，不轻易安装来源不明的移动应用。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院Android 应用违规类型分布3.3.应用申请使用权限情况从 Android 应用申请的权限进行分析，其中申请写入外部存储的应用最多，占检测应用总量的 96.37%；其次是申请读取外部存储权限的应用，占应用总量的 95.49%；排名第三的是申请读取手机状态的应用，占应用总量的 86

30、.54%。大部分应用都需要进行向手机存储一定的数据或文件，也会从手机获取文件及向手机写入文件的权限，但很多应用会借缓存图片之名请求外部存储权限，实际上应用都有自己的单独存储空间，要外部权限就是想获取你的各种文件，比如相册等，只要不影响使用，就不要同意。如果影响使用了再结合实际情况考虑，不要将敏感信息（证件照等）存储在相册等开放区域。下图为各类型权限的详细信息：爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院Android 应用申请权限 TOP10

31、3.4.数据跨境传输目的地分布情况对送检的 15 万+款 Android 应用的数据传输行为分析，发现涉嫌存在“将数据传输至境外服务器”的移动应用占比 13.53%。数据流向多个国家和地区。排名第一的目的地是美国，占比 47.42%,连续三年位居第一；排名第二的是中国香港，占比 36.73%；排名第三的是新加坡，占比 23.27%。Android 应用数据跨境传输目的地 TOP10爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院结合相关移动应用的

32、功能分类来看，涉及数据跨境传输的移动应用中，游戏类应用占该类型检测总量的 47.57%，排名第一；影音播放类应用占该类型检测总量的 21.91%，排名第二；生活实用类应用占该类型检测总量的 7.04%，排名第三。涉及数据跨境传输 Android 应用的功能分类 TOP103.5.数据明文传输类型情况据个人信息合规性检测结果显示，有 31118 款 Android 应用存在“明文传输”的违规情况。从传输个人信息类型进行分析来看：存在“明文传输”的违规应用中传输“个人常用设备信息”的应用占比最高，达到了 67.0%；其次是传输“个人基本资料”的应用，占比为 26.6%；排名第三是传输“网络身份标识

33、信息”的应用，占比为 21.8%。用户的个人信息在信息传输过程中造成个人信息泄漏，建议有关机构督促开发者针对“传输”做到加密处理。下图为存在明文传输的Android 应用中传输个人信息类型详情：爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院Android 应用传输个人信息类型3.6.应用敏感行为情况移动应用大数据平台通过对部分境外 SDK 触发的敏感行为分析，共发现54418 款应用嵌入的境外 SDK 存在敏感行为。具体来看，“监听通话状态”这

34、一行为占比最高，为 48.2%；排名第二的是“监听定位”，占比 40.7%；排名第三的是“获取电话号码”，占比为 23.9%。Android 应用敏感行为类型爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院4.全国通报应用概况4.1.通报应用总量综合情况2023 年全国总计通报 1890 款，其中，通报 Android 应用 1702 款，占全国通报应用的 90.05%；通报小程序 92 款，占全国通报应用的 4.87%；通报 iOS 54款，占

35、全国通报应用的 2.86%。个人信息违规通报资产分布2023 年全国总计通报的应用 1702 款，其中，各地通管局通报应用 1323 款，占全国通报应用的 77.73%；工信部通报 224 款，占全国通报应用的 13.16%；各地网信办通报 122 款，占全国通报应用的 7.17%。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院个人信息违规通报机构分布4.2.通报应用区域分布情况根据通报应用所属区域来看，通报广东省应用数量占总量的 19.57%

36、，位居第一；通报北京市应用数量占总量的 11.05%，位居第二；通报四川省应用数量占总量的 9.52%，位居第三。下图为全国通报应用区域分布情况：通报应用区域分布 TOP104.3.通报应用功能类型分布情况爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院根据通报应用所属功能分类来看，生活实用类应用通报数量占总量的21.09%，位居第一；办公学习类应用通报数量占总量的 17.27%，位居第二；网上购物类应用通报数量占总量的 7.46%，位居第三。这

37、显示出全国通报应用主要集中在日常生活的娱乐、生活和学习方面。下图为全国通报应用功能类型分布情况：通报应用功能分类分布 TOP104.4.通报应用版本仍有效渠道分布情况从通报应用的通报版本来看，通过跟踪通报的 1702 款移动应用相关版本的有效下载渠道，发现截至当前，仍有 578 款应用的通报版本在部分渠道可以下载。其中乐商店、2265 安卓网、旋风下载站占据前三甲。详情如下：爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院各渠道排行 TOP104

38、.5.通报个人信息问题类型分布情况针对全国通报的应用进行个人信息违规类型统计，结果显示，47.06%的应用存在“违规收集个人信息”的情况；29.91%的应用存在“App 强制、频繁、过度、索取权限”的情况；13.51%的应用存在“App 频繁自启动和关联启动”的情况。同期对比来看，总体比去年呈上升趋势，监管机构对于移动应用在个人信息问题方面越发严格，监管的力度也在逐步加强；具体违规详情如下：通通报报类类型型2 20 02 23 3 年年2 20 02 22 2 年年趋趋势势违规收集个人信息47.06%36.97%App 强制、频繁、过度索取权限29.91%26.58%App 频繁自启动和关联启

39、动13.51%2.61%超范围收集个人信息8.93%5.11%违规使用个人信息7.76%5.49%未公开收集使用规则6.87%3.14%未明示收集使用个人信息的目的、方式和范围5.23%5.49%强制用户使用定向推送功能4.47%10.97%违反必要原则，收集与其提供的服务无关的个人信息4.00%7.30%爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院欺骗误导强迫用户3.11%1.28%个人信息违规类型分布 TOP10近年来总计通报 SDK 5

40、6 款，移动应用大数据平台针对通报的 SDK 进行了个人信息违规类型统计，结果显示，68.29%的 SDK 存在“超范围收集个人信息”的情况；34.15%的 SDK 存在“收集个人信息明示、告知不到位”的情况。具体违规详情如下：SDK 的通报问题分析5.全国移动互联网应用漏洞风险概况5.1.各等级风险漏洞情况移动应用大数据平台安全利用安全检测引擎对有更新的应用，进行 140 项漏洞扫描。检查结果显示：有高达 76.89%的应用被识别为高危应用。这个比例相比于过去两年有了 2.02%的小幅增长。这个数据表明，尽管我们在技术和安全措施上有所进步，但是高危漏洞在移动互联网应用中的存在仍然是一个严重的

41、问题，因为它意味着我们的个人信息、财务信息和其他重要数据可能会因为这些漏洞而受到威胁。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院Android 应用不同风险等级漏洞的应用占比5.2.各风险漏洞类型应用排行情况截至 2023 年 12 月 31 日，全国 351 万款 Android 应用通过移动应用安全平台进行风险检测，其中，有高危漏洞的应用约 239 万款，占应用总数的 76.89%。本年度排名前三的漏洞分别是：“Janus 漏洞”、“截

42、屏攻击风险”、“未移除有风险的 WebView 系统隐藏接口漏洞”。存在漏洞较多的移动应用更加容易受到攻击，造成用户隐私泄露或直接的财产损失，应用运营者/开发者应采取安全加固等有效措施，防范和应对网络攻击，保障系统安全平稳运行。详见下图：漏漏洞洞类类型型2 20 02 23 3 年年2 20 02 22 2 年年2 20 02 21 1 年年趋趋势势Janus 漏洞70.59%75.41%57.94%截屏攻击风险64.17%68.56%53.82%未移除有风险的 WebView 系统隐藏接口漏洞63.58%67.38%50.76%模拟器运行风险61.24%65.35%49.91%Java 代码

43、加壳检测60.01%64.11%50.64%日志数据泄露风险58.99%63.07%49.90%全局异常58.20%62.13%47.82%爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院终端 ROOT 状态检测57.60%61.45%46.46%URL 硬编码风险53.63%57.40%46.04%WebView File 域同源策略绕过漏洞50.87%54.37%43.10%Android 应用漏洞类型排行5.3.各功能类型存在高危风险漏洞的

44、应用排行情况在对移动应用进行安全性检测时，我们发现某些类型的应用存在高危漏洞的风险特别高。具体来看，主题壁纸类应用在这方面的问题尤为突出，其存在高危漏洞的应用数量占到了我们检测总量的 92.0%，这一比例在所有功能类型中是最高的。这意味着，几乎每一款主题壁纸类应用都可能存在至少一个高危漏洞。紧随其后的是拍摄美化类应用，存在高危漏洞的应用数量占检测总量的88.4%。第三名是系统工具类应用，高危漏洞的应用数量占检测总量的 86.9%。与过去两年的数据相比，2023 年移动应用存在的高危漏洞比例总体上超过了 80%，这一趋势表明移动应用的安全问题仍然十分严峻。当移动应用存在漏洞时，它们很可能成为攻击

45、者的目标。攻击者可以利用这些漏洞进行恶意攻击，不仅可能导致用户数据的泄露，还可能篡改数据，给用户带来严重的隐私和财产损失。存在高危漏洞风险的应用功能类型占比 TOP10爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院6.全国移动互联网应用植入恶意程序情况概况近年来，移动互联网应用植入恶意程序的情况近年来呈现出增长的趋势，这些恶意程序可能会窃取用户的个人信息、破坏系统、恶意扣费、弹出广告等，对移动用户的个人信息及财产安全带来巨大的威胁。6.1.主要

46、恶意程序风险描述截至 2023 年 12 月，全国累计含有恶意程序的应用 29 万款，其中恶意程序类型以“流氓行为”为主，这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为，对移动用户的个人信息及财产安全带来巨大的威胁。详见下图：恶意程序类型统计表6.2.恶意应用功能类型分布情况从功能类型来看，游戏应用类存在恶意应用的数量占全国恶意应用总量的49.66%，位居第一；金融理财类存在恶意应用的数量占全国恶意应用总量的8.46%，位居第二；生活实用类存在恶意应用的数量占全国恶意应用总量的 8.23%，位居第三。存在恶意应用最多的功能类型是游戏应用类

47、，远远超过其它类型，需要加强对这类恶意应用的排查。这类恶意软件可能会以广告软件的形式出现，通爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院过弹窗广告干扰用户，或者更糟糕的是，利用用户浏览器的漏洞进行偷渡式下载，安装恶意程序到用户的设备上，模仿流行游戏的恶意软件和不需要的软件；详情见下图：恶意应用功能类型分布 TOP107.移动互联网应用盗版/仿冒情况分析仿冒盗版应用的猖獗会危害正版软件市场的发展和创新，给真正的开发运营者带来名誉及利益损害。20

48、23 年，中国信息通信研究院推行 App 签名服务系统，用户可以通过应用签名和验证识别正版应用，从而避免下载和使用未经认证的应用可能带来的风险。7.1.盗版/仿冒应用功能类型分布情况针对有更新的应用进行盗版/仿冒检测，检测结果统计显示疑似盗版仿冒的应用共计 14 万款，从应用功能类型分布来看，排名前三的功能类型为：游戏类、生活实用类、影音播放类。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院盗版/仿冒应用功能类型分布 TOP107.2.盗版/仿

49、冒应用分发渠道分布情况从盗版/仿冒分发渠道来看，排名第一的是“乐游安卓游戏网”，占总量的11.78%；排名第二是“新云网络”，占比 11.08%；排名第三的是“跑跑车”，占比 9.72%。盗版/仿冒应用多数分发在小渠道中（小渠道是指应用数量相对较少、知名度相对较低的渠道），部分小渠道的活跃应用违规行为较多，难以追溯开发/运营者且部分小渠道的服务器放在境外，没有在国内进行备案，无法准确监控。由于小渠道的开发和运营者身份难以追溯，加之部分小渠道将服务器设置在境外，没有在国内进行正规的备案，这使得监管部门难以准确监控和打击这些违规行为。这种情况不仅给正版权利人带来了损失，也给用户带来了安全风险，因为

50、盗版和仿冒应用往往存在安全隐患，可能包含恶意软件或病毒。因此，加强对小渠道的监管，提高审核标准，以及建立有效的责任追溯和国际合作机制，对于维护健康的网络环境和保护知识产权至关重要。爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院爱加密中国电信研究院盗版/仿冒应用分发渠道 TOP107.3.2023 年热点应用-ChatGPT 分发渠道分布情况2023 年，ChatGPT 让人们见识到了人工智能的厉害之处，而 ChatGPT 作为一种人工智能模型，虽然能解决很多当下的

展开阅读全文