2023移动应用安全观测报告:APP加固占比提升安全意识日渐完善
日期:2024-02-20 17:22:05   来源:产品展示

  随着各监督管理的机构的监督管理力度加强,如《中华人民共和国反电信网络诈骗法》、《互联网信息服务管理办法》,规定设立移动互联网应用程序应当依照国家有关规定向电信主管部门办理许可或者备案手续,《工业与信息化部关于开展移动网络应用程序备案工作的通知》更要求未履行备案手续的APP,不可以从事APP互联网信息服务。各主流分发渠道上架应用的审核愈发严格,经过备案,有开发主体信息的应用越来越多。

  数字经济成为稳增长促转型的重要引擎,数字技术和实体经济融合深入推动。移动互联网应用使用场景和数量的持续不断的增加,移动互联网应用安全问题也逐渐凸显,如2023年9月经国家网信办查实,某公司多款App存在违反必要原则收集个人隐私信息等违背法律规定的行为。国家网信办对其处人民币5000万元罚款。该机构掌握着大量个人隐私信息、重点行业领域重要数据,易成为境外黑客组织攻击对象。监督管理的机构对此类企业下的移动应用进行严格监管是为保障网络安全和数据安全,从而维护国家安全。

  同时相比移动应用,微信小程序新增速度较快,许多企业为了降本增效,从传统的Android和iOS应用转向小程序运营。然而,小程序的监管难度较大,因此也存在比较大的风险需要加以关注和解决。

  截至2023年上半年,爱加密携手天翼安全利用移动应用安全大数据平台收录全国Android应用、iOS应用、微信公众号、微信小程序情况并进行分析。

  2023上半年,全国总计更新的Android应用约17万款,新增Android应用约11万款。2023上半年更新的Android应用中,有52.36%的应用有明确的开发、运营主体,其余的是个人开发者或者没有实名登记运营信息。

  2023上半年,针对全国Android应用进行了个人隐私信息合规性抽样检测,总计送检9万+款应用。其中,存在“超范围收集个人隐私信息”的占比29.29%;存在“APP频繁自启动和关联启动”的占比26.34%;存在“违规收集个人隐私信息”的占比为16.59%。

  开发企业、运营企业作为责任主体应提高认识,严格自律,而广大新老用户则需要增强隐私保护意识,不轻易安装来源不明的移动应用。

  也针对部分iOS应用进行了个人隐私信息合规性抽样检测,总计送检1千+款应用。其中,存在“违规收集个人隐私信息”的占比48.92%;存在“超范围收集个人隐私信息”的占比36.22%;存在“APP频繁自启动和关联启动”的占比为3.94%。

  对送检的9万+款Android应用的数据传输行为分析,发现存在“将数据传输至境外服务器”的移动应用占比12.19%。

  数据流向多个国家和地区。排名第一的目的地是美国,占比42.60%;排名第二的是中国香港,占比19.60%;排名第三的是日本,占比10.39%。

  检测到有部分iOS应用关联境外IP或者域名。具体来看,排名第一的目的地是美国,占比70.45%;排名第二的是中国香港,占比22.73%;排名第三的是新加坡,占比为5.68%。

  据个人信息合规性检测结果为,有约2.5万款Android应用存在“明文传输”的违规情况。

  从传输个人隐私信息类型做多元化的分析来看:存在“明文传输”的违规应用中传输“个人基本资料”的应用占比最高,达到了55.77%;其次是传输“个人常用设备信息”的应用,占比为49.13%;排名第三是传输“网络身份标识信息”的应用,占比为20.91%。

  用户的个人隐私信息在信息传输过程中造成个人隐私信息泄漏,建议有关机构督促开发者针对“传输”做到加密处理。下图为存在明文传输的Android应用中传输个人隐私信息类型详情:

  据检测结果为,有约400款iOS应用存在“明文传输”的违规情况。从传输个人隐私信息类型做多元化的分析来看:存在“明文传输”的违规应用中传输“个人常用设备信息”的应用占比最高,达到了66.04%;其次是传输“网络身份标识信息”的应用,占比为45.28%;排名第三是传输“个人基本资料”的应用,占比为18.87%。下图为存在明文传输的iOS应用中传输个人隐私信息类型详情:

  2023上半年全国总计通报的应用1114款,其中,各地通管局通报应用878款,占全国通报应用的78.82%;工信部通报157款,占全国通报应用的14.09%;各地网信办通报135款,占全国通报应用的7.09%。

  针对全国通报的应用进行个人隐私信息违规类型统计,结果显示,42.49%的应用存在“违规收集个人隐私信息”的情况;23.05%的应用存在“APP强制、频繁、过度、索取权限”的情况;17.49%的应用存在“未明示收集使用个人隐私信息的目的、方式和范围”的情况。具体违规详情如下:

  爱加密携手天翼安全利用安全检测引擎,对2023上半年有更新的应用,进行107项漏洞扫描。

  检查结果显示:高危Android应用数占已检测Android应用总数的92.25%,高危iOS应用数占已检测iOS应用总数的87.81%。目前存在高危漏洞的移动互联网应用数量占比居高不下,漏洞安全仍需重点关注。

  2023上半年,全国近10万款Android应用通过移动应用安全平台做风险检测,其中,有高危漏洞的应用约9万款,占应用总数的92.25%。

  本年度排名前三的漏洞分别是:“资源文件泄露风险”、“StrandHogg漏洞”、“SO库导出符号泄露风险”。存在漏洞较多的移动应用更加容易受到攻击,造成用户隐私泄露或直接的财产损失,应用运营者/开发者应采取安全加固等有效措施,防范和应对网络攻击,保障系统安全平稳运行。详见下图:

  已完成检测的iOS中,存在的篡改和二次打包风险数量最多,占检测总数的56.38%;其次是注入攻击风险,占检测总数的40.32%;排在第三位的是动态调试攻击风险,占检测总数的27.29%。详情如下:

  对全国2023上半年更新的应用中未采取技术安全保护的方法的应用(即未加固应用)情况做统计,已采取技术安全保护的方法的应用约2万款,占11.97%,未采取技术安全保护的方法的应用占总量的88.03%。

  应用如果不进行技术安全保护的方法会无法确保应用安全,无法防止被破解、二次打包、恶意篡改等。近三年未采取技术安全保护的方法的应用占比变化如下:

  通过对未采取技术安全保护的方法的应用功能类型进行统计发现,游戏类未采取技术安全保护的方法应用占该类型应用总量的94.10%,排名第一。

  在各功能类型中,游戏类应用未采取技术安全保护的方法占比最高,且应用总量也是最高。游戏类应用大多需要实名制认证,绑定了用户的身份信息和手机号等。若不进行技术安全保护的方法,应用极易被病毒植入、广告替换、支付渠道篡改、钓鱼、信息劫持等,会严重侵害开发者的利益或威胁到用户的信息安全,所以未采取技术安全保护的方法的应用需要对应用进行安全加固防护。详见下图:

  目前大多数移动应用存在各种安全漏洞风险,随着移动应用与物联网的结合,攻击者可通过移动应用的安全漏洞风险等攻击物联网设备,物联网设备和移动应用收集了大量的个人数据,可能会引起敏感信息被黑客利用或窃取,侵犯用户的权益。安全漏洞带来的风险逐渐增强,使移动应用新场景安全威胁更加严峻。

  面对仍然严峻的风险形势,为保障移动互联网应用的安全性,移动应用分发渠道在应用上架时要进行全面的安全测试,保障上架应用的安全性。同时开发运营者自身安全意识不高,需要企业积极推动各项网络安全建设的实施,增强安全意识。如:1.要求企业制定内部管理制度和操作的过程;2.合理确定个人隐私信息处理的操作权限,定期对从业人员进行安全教育和培训;3.制定并组织实施个人隐私信息安全事件紧急预案;4.对个人信息实行分类管理;5.采取对应的加密、去标识化等安全技术措施等。

  爱加密可提供专业的移动应用安全检测、移动应用个人隐私信息安全检测、移动应用个人隐私信息安全合规评估服务等服务。具备全方位的个人隐私信息合规检测、个人信息漏洞检测、安全应用备案、持续监督等能力。能够在一定程度上帮助企业在iOS、Android、小程序应用发布前评估个人信息的安全性和合规性,为监管部门准确、快速、有效地提供行政执法依据;为测评机构出具专业的个人信息测评报告。

  爱加密移动应用个人信息安全合规评估服务可以使App运营者符合监管要求,切实负起个人信息保护的责任,助力我国个人信息保护水平迈上新台阶。有利于通过App个人信息安全认证,App应用在搜索引擎、应用商店等会明确标识并优先推荐通过认证。

  本服务涵盖了App违法违规收集使用个人信息合规工作所有业务范畴,包括隐私政策文本、收集使用个人信息行为、用户权利保障这三方面的指导、落实、督查、整改等环节,通过合规工作机制为主线将各业务模块无缝连接起来,确保APP应用合规工作全面完整。

  经过多年经验积累,爱加密囊括了应满足的所有安全合规要求,以及落实这些要求对应的实施措施、检查方法,使信息安全合规建设有章可循、有据可依,大大降低了人力、技术要求,确保落实不留死角、不留空白,全面有效。

  通过专业化的安全合规评估工作,可将安全合规中所暴露的问题,推送整改任务到相关责任人,将管理过程简单化,分析安全合规问题并寻找对应解决方案,使安全合规工作和日常安全运行工作标准化、专业化。

  作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的个人信息安全发展状况,致力于通过优质的核心技术,帮企业、监管机构、测评机构等实现移动应用的合法合规,并从行业实践着手大力推动我国移动应用个人隐私信息安全保护生态的良好发展,帮助进一步障公民个人隐私信息的全面安全。

  天翼安全科技有限公司,作为中国电信网络安全的关键承担者,以科技与平台为双翼,是专业从事网络安全业务的科技型、平台型公司。作为中国电信建设安全型企业的主力军和骨干力量,我们以研发运营一体化的方式,整合全集团云网、安全、数据等优势资源和能力,进行统一运营,为内外部客户提供云网安全、数据安全、信息安全等各类安全产品和服务。爱加密与天翼安全科技有限公司联手,共同推出了隐私哨兵产品。这款产品在“中国电信APP”上可以进行订阅试用,能够有效检测手机上的违法仿冒APP,保护手机个人隐私信息的隐私安全。

  本文仅摘选《2023上半年全国移动应用安全观测报告》部分内容,可免费获得本报告全文。