三方联合重磅发布《全国移动App第二季度安全研究报告》

近日，移动互联网系统与应用安全国家工程实验室（以下简称：国家工程实验室）、中国信息通信研究院安全研究所（以下简称：信通院）、北京智游网安科技有限公司（爱加密）三方联合发布了《全国移动App第二季度安全研究报告》。

本次报告内容包括全国移动App概况、移动App功能分布、金融类App分布情况、本季度增量情况、移动App个人信息安全概况、第二季度移动App安全风险监测评估。爱加密已连续与国家工程实验室、信通院合作多年，并多次联合发布全国移动App安全研究报告，为行业用户了解本行业App安全提供了参考，也为个人用户开启了一扇了解当下App安全热点的窗户。

一、全国移动App概况

根据中国信息通信研究院安全研究所和移动互联网系统与应用安全国家工程实验室（以下简称国家工程实验室）以及北京智游网安科技有限公司（爱加密）移动应用大数据平台提供的数据，截止6月底大数据平台共计收录Android移动App338万款，其中70%以上存在高危漏洞威胁；23.86%的App嵌入框架类的SDK。

（一）应用宝移动App数量占总量的21.40%

截止到本季度纳入监测的应用渠道数量总计约900个，其中应用数量排名前三列的分别是：应用宝，共计应用724073款，占渠道总应用数量的21.40%；360市场，共计616302款，占总应用数量的18.21%；豌豆荚，共计523164款，占总应用数量的15.46%。以下是各渠道应用排行前十的情况：

各渠道应用排行TOP10

（二）高危漏洞呈逐渐增长趋势

本次主要对10类94项风险漏洞进行监测分析，发现70%以上的App存在漏洞风险。约243万款Android最新版本应用包通过移动应用安全平台进行风险监测，其中，有高危漏洞的App约177万款，占监测应用总数的73.05%。本季度排名前三的漏洞分别是：Janus漏洞、截屏攻击风险、模拟器运行风险。详见下图：

存在漏洞的App数量统计图

（三）第三方SDK应用广泛，数据安全存在隐患

第三方SDK通常是造成用户个人信息在网上“裸奔”的罪魁祸首。监测发现截止6月底，共计1366601款App嵌入框架类的SDK，占比23.86%；1261475款App嵌入工具类的SDK，占比22.02%；482967款App嵌入推送类的SDK，占比8.43%，详见下图：

不同类型SDK对应的App分布情况

（四）各省份移动App加固情况相近

从加固App区域分布来看，北京、广东省App供应商安全意识较强，加固数量最多。

加固App省份Top10

经统计，安全加固排名前三列的分别是：北京市加固App占总量的24.4%，共计78279款；广东省市占总量的24.0%，共计77034款；上海市占总量的6.9%，共计22179款，以下是前十占比情况：

加固App数量省份占比前十分布

北京以24.4%的市场份额成为汇聚加固App数量最多的省份，而青海、澳门、西藏等省份加固App数量较少。详情如下：

加固App数量较少的省份分布情况

二、移动App功能分布

（一）游戏类App稳居市场总应用的首位

从全国移动App功能应用细分领域来看，游戏类App的数量占据首位，占市场应用的42.6%，共计934753款；生活实用类的App占市场应用的12.3%，共计269268款；系统工具类的App占市场应用的7.2%，共计156857款。不同细分领域App占比如下所示：

不同细分领域AppTop10数量及占比

（二）其他功能App分布情况

排名第4到第10的行业分别是办公学习、资讯阅读、金融理财、拍摄美化，总和未超过50%。其中：办公学习类App共计143318款，占比6.5%；资讯阅读类App共计125997款，占比5.7%；金融理财类App共计97573款，占比4.4%。详情见下图：

其他功能App数量分布

三、金融类App分布概况

（一）超三成金融类App分布在华东地区

金融类App遍布全国各地，有97762款可以根据区域划分规则明确归属地，以下区域分布仅基于这97762款做分析。从大区来看，华东地区App数量位居第一，占App总量的36.62%；其次是华南地区，占总量的31.47%；华北地区位列第三，占总量的16.81%。详见下图：

App大区分布图

（二）广东省金融类App数量居全国第一

从省级区域来看，广东省金融类App数量占全国总量的25.24%，位居第一；北京市金融类App数量占全国总量的14.74%，位居第二；上海市占全国总量的10.89%，位居第三。以下是排名TOP10的情况：

应用数量占比TOP10

四、本季度增量情况

（一）Android应用数量5月份环比倍数增长

本季度新增Android应用数量共计85857个，从月度上看，本季度Android应用数量增速5月份环比增长最快，环比增加59.82%，但6月新增应用共计32512款，环比下降24.17%。详见图8：

月度环比增速图

从应用行业上看，教育类仍是新增移动App的主要类别，占新增应用40.37%；金融类新增数量位列第二，占新增应用26.21%；政企类新增数量位列第三，占新增应用的15.31%；详见下图：

新增移动App行业Top10分布图

（二）应用监测渠道增量情况

1.应用监测渠道4月增长较快

本季度应用监测新增渠道趋势较为平缓，新增应用渠道共计31个，4月份新增12个渠道，6月份新增10个渠道。详见下图：

新增渠道情况

2.新增渠道中，服务器在广东、湖北、上海的最多

从新增渠道分布区域上看，服务器在广东、湖北、上海的渠道增量最多，占新增渠道12.90%。详见下图：

新增渠道所属区域

五、移动App个人信息安全概况

（一）个人信息检测违规类型分布情况

个人信息违规类型分布

（二）个人信息检测违规移动App功能类型分布

从功能类型来看，存在个人信息违规问题最多的是办公学习类App，占检测总量的15.53%；其次是生活实用类App，占检测总量的10.17%；金融理财类App占检测总量的5.75%，位居第三。详见下图：

个人信息检测违规App功能类型分布

（三）移动App个人信息安全案例分析

1.越权设置密码

（2）密码修改请求仅通过user_id区分用户。

结果分析：App应使用安全的会话管理机制，在进行修改密码等敏感操作时严格校验用户的身份，避免出现示例中的越权修改用户敏感信息情况。

2.数据明文传输

结果分析：App应对涉及个人敏感信息、重要数据等的数据包加密处理，，并对关键加密算法所在的so库进行加壳、混淆等防护，保护App数据传输及加解密机制安全。

六、第二季度移动App安全风险监测评估

（一）App带来便利的同时也隐藏着‘小心机’

（二）网络安全离不开安全技术和产业的支撑

没有网络安全就没有国家安全，严重影响经济社会稳定运行，广大人民群众利益也难以得到保障。当前，各种形式的网络攻击、恶意代码、安全漏洞层出不穷，对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗，保障网络安全离不开网络安全技术和产业的有力支撑。