全国手机APP安全性研究报告(一)

发布者:路旭发布时间:2019-06-10浏览次数:10

据统计,每年至少新增150万种移动恶意软件,至少造成超过1600 万件的移动恶意软件攻击事件。全国手机 APP 安全性研究报告,旨在让手机用户了解 APP 风险隐患对个人隐私信息及资金安全等方面所造成的威胁,提高其安全防范意识。通过对 App 违法违规收集使用个人信息行为的通报,协同有关主管部门、APP 供应商、APP 提供商等,共同营造安全的移动应用环境,促进网络安全的规范化、安全化、健康化发展。

全国手机 APP 概况

截止 3 月底大数据中心已收录 Android app 应用 270 多万个,IOS 应用 190 多万个,其中 50% 以上的 APP 都存在漏洞威胁,5.24% 的 APP 存在病毒,30% 以上的 APP 存在不同程度的越权、超范围收集等违规行为。

(一)广北上 APP 产量高

从 APP 分布区域来看,广东省 APP 数量位居第一,约占 APP 总量的 23.58%;其次是北京市,约占总量的 22.50%,排名第三的是上海市,约占总量的 12.72%。

(二)游戏娱乐行业 APP 数量最多、安全性最差

游戏娱乐类 APP 53 万,约占总量的 20%,存在高风险漏洞最多,在所有 app 中相对最不安全。金融理财类 APP 位居第二,有 26 万,约占总量的 10%。教育培训类 APP 排名第三,有 13 万,约占总量的 5%。

图 2  行业信息分布图

(三)十大市场包揽五成以上 APP,福建拥有应用市场公司最多

从应用市场拥有 APP 数量来看,目前上线的 APP 市场有 500+,其中豌豆荚、360 市场、应用宝占据应用市场排名前三甲。

图 3  应用市场统计图

从应用市场公司主体所属区域来看,福建省 APP 应用商店最多,占总量的 16.47%,如「好卓市场」、「手机玩」、「最笨下载」等应用市场的所属公司都在福建省,其次是湖北省和北京市的应用市场公司数量较多,分别占总量的 16.06% 和 13.25%。

图 4  应用市场区域分布图

手机 APP 漏洞情况分析

(一)约 70% 的 APP 都或多或少存在安全漏洞

手机应用安全平台扫描了 270 多万个 APP,其中,有漏洞的 APP 约 183 万个,占监测总数的 67.77%。排名前三的漏洞分别是:Janus 漏洞、未移除风险的 WebView 系统隐藏接口漏洞、截屏攻击风险漏洞。

图 5   漏洞 APP 数量统计图

(二)约 70% 的 APP 都存在高危漏洞

约 181 万个 APP 存在高危漏洞,占监测总数的 67.04%。2% 的 APP 存在 20 个以上高危漏洞,19% 的 APP 存在 10-20 个高危漏洞,79% 的 APP 存在 10 个以下的高危漏洞。

从 APP 漏洞种类来看,存在 Janus 高危漏洞的 APP 数量最多,占监测总数的 66.67%;其次是 Java 代码未加壳漏洞,占监测总数的 57.19%;排在第三位的是 WebView 明文存储密码漏洞,占监测总数的 48.69%。

图 6   高危漏洞统计图

Janus 漏洞主要威胁是可以绕过了安卓系统的整个安全机制,可以盗取用户的账户、密码等敏感信息,甚至可以植入木马病毒,属于高危漏洞。

Java 文件未进行加壳保护,主要威胁是可能被反编译,易导致代码逻辑泄露、重要数据加密代码逻辑泄露等,属于高危漏洞。

WebView 明文存储密码漏洞,主要威胁是用户保存在 WebView 中的密码,会被明文保存到应用数据目录中,可能会被攻击者窃取本地明文存储的用户名和密码。

(三)游戏娱乐类 APP 相对安全性较差

从 APP 类别来看,存在漏洞的所有 APP 中,游戏娱乐类最多,占 16.0%,其次为金融理财类,占 14.2%,教育培训排名第三,占 12.9%。

从各类 APP 中含有的高风险漏洞来看,67.04% 的移动 APP 存在高危安全漏洞。其中,游戏娱乐类 APP 含有高风险漏洞的比例最高,占游戏娱乐类 APP 总量的 75.9%;其次为新闻资讯类 APP,占新闻资讯类 APP 总量的 63.6%,教育培训排名第三,占教育培训类 APP 总量的 42.9%。

(四)APP 漏洞主要分布区域

从漏洞的区域分布来看,北上广占比较高,其中广东省存在漏洞应用数量占总量的 19.08%,其次是北京市,占总量的 18.21%,排名第三的是上海市,占总量的 10.29%。

图 7   漏洞区域分布情况