天翼安全科技有限公司 2023上半年全国移动应用 安全观测报告 天翼安全科技有限公司京智游网安科技有限公司 爱加密移动应用运营中心 目录 1.全国移动互联网应用概况4 1.1全国移动互联网应用总量综合情况4 1.2全国移动应用分发渠道分布6 1.3全国移动互联网应用各功能类型分布情况7 1.4全国移动互联网应用地域分布情况7 1.5全国移动互联网应用下载量情况9 2.全国移动互联网应用在个人信息保护方面情况概述11 2.1应用申请使用权限情况11 2.2个人信息自动化检测违规情况12 2.3数据跨境传输目的地分布情况14 2.4数据明文传输类型情况16 3.全国通报应用概况17 3.1通报应用总量综合情况17 3.2通报应用功能类型分布情况18 3.3通报应用版本仍有效渠道分布情况19 3.4通报个人信息问题类型分布情况19 4.全国移动互联网应用漏洞风险概况20 4.1各等级风险漏洞情况20 4.2各风险漏洞类型应用排行情况21 4.3各功能类型存在高危风险漏洞的应用排行情况22 5.移动互联网应用盗版/仿冒情况分析23 5.1盗版/仿冒应用功能类型分布情况23 5.2盗版/仿冒应用分发渠道分布情况24 6.移动互联网应用技术安全保护措施25 6.1未采取技术安全保护措施的应用占比情况25 6.2未采取技术安全保护措施的应用功能类型分布情况25 7.个人信息安全保护措施26 8.公司介绍27 前言 随着经济增速的放缓,超过40w企业倒闭,移动应用市场也受到了波及,增长量有所下降。从增长量的功能类型可以看出,游戏增长幅度较大,可以看出,游戏类的应用比较活跃。随着各监管机构的监管力度加强,如《中华人民共和国反电信网络诈骗法》、《互联网信息服务管理办法》,规定设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续,《工业和信息化部关于开展移动互联网应用程序备案工作的通知》更要求未履行备案手续的APP,不得从事APP互联网信息服务。各主流分发渠道上架应用的审核愈发严格,经过备案、开发主体信息的应用越来越多。 数字经济成为稳增长促转型的重要引擎,数字技术和实体经济融合深入推进。移动互联网应用使用场景和数量的不断增加,移动互联网应用安全问题也逐渐凸显,如2023年9月经国家网信办查实,知网旗下多款App存在违反必要原则收集个人信息等违法行为。国家网信办依法对知网作出网络安全审查相关行政处罚的决定,处人民币5000万元罚款。该机构掌握着大量个人信息、重点行业领域重要数据,易成为境外黑客组织攻击对象。监管机构对此类企业下的移动应用进行严格监管是为了保障网络安全和数据安全,从而维护国家安全。 除了严格处罚违规企业外,监管部门也在加强网络安全教育与宣传工作。2023年9月11日,2023年国家网络安全宣传周在福州启幕。网络安全宣传周活 动已开展了10年,各地区监管部门以百姓通俗易懂、喜闻乐见的方式,广泛开展网络安全进社区、进农村、进企业、进机关、进校园等,有力推动全社会网络安全意识和防护技能的提升,以应对不断增加的网络威胁,确保数字空间的安全和可靠性。 同时相比移动应用,微信小程序新增速度较快,许多企业为了降本增效,从传统的Android和iOS应用转向小程序运营。然而,小程序的监管难度较大,因此也存在较大的风险需要加以关注和解决。 1.全国移动互联网应用概况 1.1全国移动互联网应用总量综合情况 截至2023年上半年,天翼安全携手爱加密利用移动应用安全大数据平台收录全国Android应用共计4379101款,iOS应用共计2831147款,微信公众号5958163个,微信小程序2620304个。2023上半年,全国总计更新的Android应用共计175750款,新增Android应用114913款。 2023上半年全国总量综合情况 2023上半年更新的Android应用中,有52.36%的应用有明确的开发、运营主体,其余的是个人开发者或者没有实名登记开运营信息。从企业更新应用量来看(仅以应用上架发布的开发运营主体统计,未以有股权关系的关联公司角度统 计),广州**网络科技有限公司更新的应用产量位居第一;其次是北京**互联科技有限公司;北京**科技发展有限公司位列第三。 排名开发企业更新应用量 1 广州**网络科技有限公司 678 2 北京**互联科技有限公司 640 3 北京**科技发展有限公司 570 4 杭州**科技有限公司 424 5 广州**互联网信息服务有限公司 367 6 南京**互娱科技有限公司 306 7 深圳市**信息技术有限公司 284 8 北京**信息科技有限公司 265 9 广州**网络科技有限公司 248 10 深圳市**计算机系统有限公司 219 全国开发者发布应用TOP10 1.2全国移动应用分发渠道分布 截至2023年上半年,移动应用安全大数据平台纳入监测的应用渠道数量总计有1511个。其中,Android应用市场(即Android网页分发渠道)渠道数量最多,占总渠道数量的64.86%;Android游戏市场,占总渠道数量的32.30%;移动端应用市场,占总渠道数量的1.59%;贴吧论坛等其它渠道,占总渠道数量的1.26%。 全国活跃应用(即3个月内有更新的应用)总计93449款。从活跃应用分布的渠道来看,vivo(app)共计发布应用39747款,占比42.53%;oppo(app)共计发布应用39284款,占比42.04%;小米应用商店,共计发布应用38010款,占比40.67%。移动端应用市场是更新发布应用的主要渠道: 活跃应用在各渠道应用量排行TOP10 1.3全国移动互联网应用各功能类型分布情况 截至2023年上半年,从应用总量来看,游戏类应用数量占应用总量的31.65%,位居第一;生活实用类应用数量占应用总量的7.02%,位居第二;办公学习类应用数量占应用总量的3.95%,位居第三。 而从2023上半年新增的应用来看,游戏类应用数量占新增应用量的21.00%,位居第一;生活实用类应用数量占新增应用量的7.62%,位居第二;影音播放类应用数量占新增应用量的4.67%,位居第三。这显示出移动应用主要集中在日常生活的娱乐、生活和学习方面。 全国应用功能类型排行TOP10 1.4全国移动互联网应用地域分布情况 全国4379101款Android应用中,有1080433款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这1080433款做分析。从区域来看, 广东省应用产量位居第一,占全国应用总量的30.12%;其次是北京市,占总量的20.01%;上海市位列第三,占总量的9.87%。以下是全国应用地域分布TOP10: 全国Android应用区域分布情况TOP10 全国共有2831147款iOS应用,有149695款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这149695款做分析。从区域来看,北京市应用数量位居第一,占全国应用总量的19.45%;其次是广东省,占总量的17.16%;上海市位列第三,占总量的11.21%。 全国iOS区域分布情况TOP10 1.5全国移动互联网应用下载量情况 Android iOS 排名 截至2023年上半年,结合各渠道的下载量统计,考虑渠道的权重(渠道的影响力,公信力,专业度)等综合因素进行分析,以下是Android及iOS应用下载量TOP10排行情况: 图标应用名称 开发者 上海寻梦信息技术有限公司 图标应用名称 开发者北京微播视界科技有限公司 1 拼多多 抖音 2 抖音 北京微播视界科技有限公司 QQ 腾讯科技(深圳) 有限公司 3 快手 北京快手科技 有限公司 小红书 行吟信息科技(上海)有限公司 4 微信 深圳市腾讯计 个人所得 国家税务总局 算机系统有限 公司 税 5 WiFi万能钥匙 南京尚网网络科技有限公司 剪映 深圳市脸萌科技有 限公司 6 百度 百度在线网络技术(北京)有 限公司 QQ音乐 腾讯科技(深圳)有限公司 7 腾讯视频 腾讯科技(北京)有限公司 快手 北京快手科技有限 公司 8 QQ 腾讯科技(深圳)有限公司 夸克 广州市动悦信息技 术有限公司 9 手机淘宝 淘宝(中国)软 件有限公司 微信 深圳市腾讯计算机 系统有限公司 10 头条 北京字节跳动科技有限公司 BOSS直 聘 北京华品博睿网络 技术有限公司 全国Android及iOS应用下载量排行TOP10 2.全国移动互联网应用在个人信息保护方面情况概述 2.1应用申请使用权限情况 从Android应用(三个月内有更新的应用)申请的权限进行分析,其中申请写入外部存储的应用最多,占检测应用总量的98.74%;其次是申请读取外部存储权限的应用,占应用总量的98.69%;排名第三的是申请读取手机状态的应用,占应用总量的87.75%。大部分应用都需要进行向手机存储一定的数据或文件,也会从手机获取文件及向手机写入文件的权限,但很多应用会借缓存图片之名请求外部存储权限,实际上应用都有自己的单独存储空间,要外部权限就是想获取你的各种文件,比如相册等,只要不影响使用,就不要同意。如果影响使用了再结合实际情况考虑,不要将敏感信息(证件照等)存储在相册等开放区域。下图为各类型权限的详细信息: Android应用申请权限TOP10 同时对部分iOS的权限申请也进行了检测,从检测结果来看,申请“解除整个app的ATS限制”的iOS数量最多,占比79.05%;其次是“访问相机”的iOS占比78.79%,位列第二;位列第三的是“访问相册”的iOS,占比为77.28%。 iOS应用申请权限top10 2.2个人信息自动化检测违规情况 2023上半年,针对全国Android应用进行了个人信息合规性抽样检测,总计送检9万+款应用。其中,存在“超范围收集个人信息”的占比29.29%;存在“APP频繁自启动和关联启动”的占比26.34%;存在“违规收集个人信息”的占比为16.59%。开发企业、运营企业作为责任主体应提高认识,严格自律,而广大用户则需要增强隐私保护意识,不轻易安装来源不明的移动应用。 Android应用违规类型分布 也针对部分iOS应用进行了个人信息合规性抽样检测,总计送检1千+款应用。其中,存在“违规收集个人信息”的占比48.92%;存在“超范围收集个人信息”的占比36.22%;存在“APP频繁自启动和关联启动”的占比为3.94%。 iOS应用违规类型分布 2.3数据跨境传输目的地分布情况 境外 2023年上半年 去年同期 趋势 美国 42.60% 61.70% ↓ 中国香港 19.60% 21.01% ↓ 日本 10.39% 2.44% ↑ 新加坡 8.66% 6.09% ↑ 德国 4.82% 2.81% ↑ 澳大利亚 1.73% 0.24% ↑ 荷兰 1.44% 0.65% ↑ 英国 1.27% 0.68% ↑ 爱尔兰 1.27% 1.80% ↓ 南非 1.09% 0.01% ↑ 对送检的9万+款Android应用的数据传输行为分析,发现存在“将数据传输至境外服务器”的移动应用占比12.19%。数据流向多个国家和地区。排名第一的目的地是美国,占比42.60%;排名第二的是中国香港,占比19.60%;排名第三的是日本,占比10.39%。 Android应用数据跨境传输目的地TOP10 检测到有部分iOS应用关联境外IP或者域名。具体来看,排名第一的目的地是美国,占比70.45%;排名第二的是中国香港,占比22.73%;排名第三的是新加坡,占比为5.68%。 iOS应用数据跨境传输目的地 结合相关移动应用的功能分类来看,涉及数据跨境传输的移动应用中,影音播放类应用占该类型检测总量的26.27%,排名第一;游戏类应用占该类型检测总量的25.64%,排名第二;主题壁纸类应用占该类型检测总量的17.98%,排名第三。 涉及数据跨境传输Android应用的功