全国移动APP安全性研究报告：约70%的APP都存在安全漏洞

据统计，每年至少新增150万种移动恶意软件，至少造成超过1600 万件的移动恶意软件攻击事件。爱加密全国移动 APP 安全性研究报告，旨在让移动手机用户了解 APP 风险隐患对个人隐私信息及资金安全等方面所造成的威胁，提高其安全防范意识。通过对 App 违法违规收集使用个人信息行为的通报，协同有关主管部门、APP 供应商、APP 提供商等，共同营造安全的移动应用环境，促进网络安全的规范化、安全化、健康化发展。

全国移动 APP 概况

截止 3 月底大数据中心已收录 Android app 应用 270 多万个，IOS 应用 190 多万个，其中 50% 以上的 APP 都存在漏洞威胁，5.24% 的 APP 存在病毒，30% 以上的 APP 存在不同程度的越权、超范围收集等违规行为。

（一）广北上 APP 产量高

从 APP 分布区域来看，广东省 APP 数量位居第一，约占 APP 总量的 23.58%；其次是北京市，约占总量的 22.50%，排名第三的是上海市，约占总量的 12.72%。

（二）游戏娱乐行业 APP 数量最多、安全性最差

游戏娱乐类 APP 53 万，约占总量的 20%，存在高风险漏洞最多，在所有 app 中相对最不安全。金融理财类 APP 位居第二，有 26 万，约占总量的 10%。教育培训类 APP 排名第三，有 13 万，约占总量的 5%。

图 2  行业信息分布图

（三）十大市场包揽五成以上 APP，福建拥有应用市场公司最多

从应用市场拥有 APP 数量来看，目前上线的 APP 市场有 500+，其中豌豆荚、360 市场、应用宝占据应用市场排名前三甲。

图 3  应用市场统计图

从应用市场公司主体所属区域来看，福建省 APP 应用商店最多，占总量的 16.47%，如「好卓市场」、「手机玩」、「最笨下载」等应用市场的所属公司都在福建省，其次是湖北省和北京市的应用市场公司数量较多，分别占总量的 16.06% 和 13.25%。

图 4  应用市场区域分布图

移动 APP 漏洞情况分析

（一）约 70% 的 APP 都或多或少存在安全漏洞

移动应用安全平台扫描了 270 多万个 APP，其中，有漏洞的 APP 约 183 万个，占监测总数的 67.77%。排名前三的漏洞分别是：Janus 漏洞、未移除风险的 WebView 系统隐藏接口漏洞、截屏攻击风险漏洞。

图 5   漏洞 APP 数量统计图

（二）约 70% 的 APP 都存在高危漏洞

约 181 万个 APP 存在高危漏洞，占监测总数的 67.04%。2% 的 APP 存在 20 个以上高危漏洞，19% 的 APP 存在 10-20 个高危漏洞，79% 的 APP 存在 10 个以下的高危漏洞。

从 APP 漏洞种类来看，存在 Janus 高危漏洞的 APP 数量最多，占监测总数的 66.67%；其次是 Java 代码未加壳漏洞，占监测总数的 57.19%；排在第三位的是 WebView 明文存储密码漏洞，占监测总数的 48.69%。

图 6   高危漏洞统计图

Janus 漏洞主要威胁是可以绕过了安卓系统的整个安全机制，可以盗取用户的账户、密码等敏感信息，甚至可以植入木马病毒，属于高危漏洞。

Java 文件未进行加壳保护，主要威胁是可能被反编译，易导致代码逻辑泄露、重要数据加密代码逻辑泄露等，属于高危漏洞。

WebView 明文存储密码漏洞，主要威胁是用户保存在 WebView 中的密码，会被明文保存到应用数据目录中，可能会被攻击者窃取本地明文存储的用户名和密码。

（三）游戏娱乐类 APP 相对安全性较差

从 APP 类别来看，存在漏洞的所有 APP 中，游戏娱乐类最多，占 16.0%，其次为金融理财类，占 14.2%，教育培训排名第三，占 12.9%。

从各类 APP 中含有的高风险漏洞来看，67.04% 的移动 APP 存在高危安全漏洞。其中，游戏娱乐类 APP 含有高风险漏洞的比例最高，占游戏娱乐类 APP 总量的 75.9%；其次为新闻资讯类 APP，占新闻资讯类 APP 总量的 63.6%，教育培训排名第三，占教育培训类 APP 总量的 42.9%。

（四）APP 漏洞主要分布区域

从漏洞的区域分布来看，北上广占比较高，其中广东省存在漏洞应用数量占总量的 19.08%，其次是北京市，占总量的 18.21%，排名第三的是上海市，占总量的 10.29%。

图 7   漏洞区域分布情况

移动 APP 病毒情况分析

（一）每 100 个应用中至少有 5 个应用存在病毒

通过安全平台对 APP 进行病毒扫描，截止目前，已完成病毒扫描的 APP 中有 14.19 万款 APP 存在病毒，病毒率高达 5.24%。主要涉及移动用户的隐私数据收集、恶意扣费、流量资源消耗、广告推送等多种恶意行为，对移动用户的个人信息及财产安全带来巨大的威胁。

（二）93% 以上的病毒存在流氓行为

从病毒分类来看，93.96% 的病毒存在流氓行为，这类病毒会造成「广告推送」、「隐私信息监控」、「流量或资金消耗」等危害；1.79% 的病毒存在隐私窃取，这类病毒会造成短信、GPS 定位、联系人信息等敏感信息被窃取；1.09% 的病毒存在恶意扣费，这类病毒会使用户话费激增，造成经济损失。

图 8  病毒类型统计表

（三）病毒 APP 主要分布区域

从病毒 APP 分布区域来看，广东省占病毒 APP 总量 27.33%，其次是浙江省，占病毒 APP 总量 10.49%，最后是北京市，占病毒 APP 总量 10.23%。

图 9   病毒区域分布图

（四）七成以上的应用商店都存在病毒 APP

本次扫描监测的应用商店，其中多达 185 家都存在涉及病毒的 APP，这其中包括有大量用户及下载量的主流应用商店。此外需要引起关注的是，一些小的应用商店，APP 总量不多但存在病毒的 APP 占比较高。

移动应用高危风险分析

（一）不可忽视的隐私条款

随着 APP 应用的发展，越来越多的 APP 打着服务用户的旗号获取大量的用户隐私信息，部分 APP 在使用用户隐私权限时根本不提供隐私条款，部分 APP 即使有隐私条款，也是和实际采集的用户信息不匹配的。 大量 APP 存在过度采集信息 ，即不是他们提供服务时应获取的信息，以及大量 APP 在收集和使用用户个人信息时缺乏明示，且未经用户确认等情况。用户隐私信息正面临安全的挑战。

案例：这是某金融服务 APP 提供给用户的隐私条款部分截图，你可能很难认真去阅读这些条款，一般都会直接选择同意，但是你可能不知道，你点击同意后，就表示你已经阅读并接受这个条款里的所有内容，比如有一条关于你信息共享问题的条款：「我们会与我们的供应商、服务提供商、顾问或代理人共享您的个人信息，以提供更好的用户体验」。意思就是你点击同意这个条款，那么你的个人信息就可能会被第三方获取。

不知道你是否留意，图里还有这样一句：「除非得到您的允许，否则我们不会将你的个人信息提供给广告合作、分析服务合作伙伴」，这下你应该明白为什么前两天你刚跟朋友提起你想买个智能音箱，第二天就能收到关于智能音箱的各种广告推送。

图 10   个人隐私条款截图

（二）个人隐私风险

随着移动应用的迅猛发展，人们对于移动应用涉及个人信息的隐私性日益关注。移动应用涵盖用户大量个人隐私性数据，一旦发生泄漏可能对个人、社会造成重大影响，同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用应该有效的保障用户的账号密码和个人信息数据安全，保护用户的个人隐私。如何保障移动应用的数据安全和数据隐私，成为了国内外移动应用安全技术亟待解决的问题。

案例 1：在今年 3.15 几天爆出，某知名 SDK 供应商利用向各大应用公司提供 SDK 服务的便利，大量获取用户信息。窃取数据的程序名为「SWAnalytics」，存在于应用的 SDK 模块当中。当用户安装并打开受感染的应用，或者重启了设备，SWAnalytics 便会自动读取用户的通讯录，并上传至远程的服务器。据相关数据统计，此次信息盗取事件中受感染的应用程序下载量至少有 1.11 亿次，可见涉及面之广。

案例 2：某电商 APP 正通过后台程序收集用户的地址、电话等个人信息。

图 11  电商收集用户信息截图

案例 3：某游戏应用正在通过后台程序获取用户的手机信息。

图 12   请求品牌、手机型号、IMEI、系统版本等信息

图 13   获取 IMEI 号代码

图 14   获取手机 MAC 地址

图 15   获取手机型号与品牌

图 16   获取系統版本地址

总结

一、移动应用安全问题决定着移动应用产业的未来

在移动互联网火热发展的时代，移动 APP 无处不在，购物、音乐、学习、理财、社交、娱乐等等。据调查报告显示，目前移动 APP 安全市场缺口大，主要体现在移动安全需求大、研究人员极少以及针对性公司少。为保证移动应用的安全，开发者需要对 APP 进行一系列安全检测、安全加固以及渠道监测等工作，从而保障用户信息安全，促进互联网的健康发展。

移动 APP 平台以 Android、iOS 为主流，而 Android 因其开放性，安全问题相当严峻。本次检测共计搜集 270 多万 条 app 的数据，扫描出约  6358 万 多条漏洞数据，涉及 75 种 漏洞，有 183 多万 款 APP 或多或少都存在安全漏洞。这些数据反映出 android app 漏洞问题的严峻性，在 APP 市场上，很多 android app 都存在潜在的安全风险，一旦被利用，会给用户和开发者带来很大影响。

二、用户隐私泄露情况需留意预防提防

移动 APP 为人们的生活带来了便捷的通讯、购物、交通……人们在享受这些便捷的同时，位置信息、通话记录、照片、摄像头等个人信息可能也会默默的暴露到了网络上。目前，用户个人信息收集和使用上存在很多乱象。那么怎么才能减少或避免个人隐私信息泄露呢？手机应用专家建议如下：

1. 下载安装时认真阅读权限提示 ，谨慎开启权限，经常检查手机应用的权限信息，关闭用不到的或是不常用的软件权限，特别是摄像头、语音权限，不用的时候最安全做法是关闭该权限，使用时再打开。

2. 尽量 不要下载来路不明的软件 。每款软件下载后要及时查看权限，不需要的及时关闭。

3. 不要购买山寨、组装手机 。品牌手机系统安全性相对可靠，通常不会出现强制使用状况，比如使用摄像头权限，在用户关闭的情况下强制打开，这种事一般不会发生，除非手机系统安全性过低，所以山寨手机要不得。

4. 摄像头自动打开，这种情况多数是用户自己打开了使用摄像头权限，使用后不及时关闭，某些流氓软件利用用户这个不良习惯来窃取用户隐私。即便是品牌手机，不排除个别软件出现强制打开权限状况发生，用户遇到这类问题要 及时卸载软件 ，并通过正常渠道及时反馈给手机供应商处理。

5. 一定要 通过正规应用市场下载 APP， 或者官网等渠道，避免通过网页弹窗、不明链接下载软件，以免手机感染病毒。

三、政府越来越关注信息安全

数据显示，我国移动互联网网民数量突破 11.3 亿，金融服务、交通出行、支付业务等逐渐向移动互联网平台迁移。移动应用安全问题越来越突出。从习近平提出「网络强国」到今年的十三届全国人大二次会议，国家领导人在会议报告中三提「信息」，涉及到信息技术发展、信息基础设施建设和个人信息保护，表明政府越来越重视信息安全，这也是移动手机用户最为关注的问题。

2017 年 6 月 1 日正式施行《中华人民共和国网络安全法》，其中第 41 条至 43 条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息，应当遵循相关的法律法规，并经被收集者同意，不得向他人提供个人信息。此外，网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息；网络运营者应当采取安全措施，确保其收集的个人信息安全。

然而实际操作中，由于取证难、执法难。存在大量 APP 开发企业无视法律法规，在用户使用时根本不提供隐私条款，部分 APP 即使有隐私条款，也是和实际采集的用户信息不匹配现象。大量 APP 存在过度采集信息，即不是他们提供服务时应获取的信息，以及大量 APP 在收集和使用用户个人信息时缺乏明示，且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。

此外需引起关注的是，3.13 爆出的 SDK「顺手牵羊」窃取用户隐私信息的事件虽已告一段落，但还有较多的 SDK 仍在隐蔽的做着窃取用户信息的行为。因此作为 APP 开发企业，除了提高安全意识、规范自身行为以外，还应对自己提供的 APP 负责，避免因 SDK 的恶意行为而受到牵连。提高移动应用开发企业的法律意识，主动担负起保护用户个人隐私信息的责任。

*本文作者：爱加密123，转载请注明来自FreeBuf.COM