《愛加密：2024年上半年全國移動應用安全觀測報告（43頁）.pdf》由會員分享，可在線閱讀，更多相關《愛加密：2024年上半年全國移動應用安全觀測報告（43頁）.pdf（43頁珍藏版）》請在三個皮匠報告上搜索。

1、2024 年上半年全國移動應用安全觀測報告年上半年全國移動應用安全觀測報告北京智游網安科技有限公司目錄前言.41.全國移動互聯網應用概況.61.1.全國移動互聯網應用總量綜合情況.61.2.全國移動應用分發渠道分布.71.3.全國活躍移動互聯網應用功能類型分布情況.81.4.全國移動互聯網應用地域分布情況.91.5.全國移動互聯網應用下載量情況.122.全國移動互聯網應用在個人信息保護方面情況概述.122.1.個人信息人工深度檢測違規情況.122.2.個人信息自動化檢測違規情況.132.3.應用申請使用權限情況.142.4.數據跨境傳輸目的地分布情況.152.5.數據明文傳輸類型情況.162.

2、6.應用敏感行為情況.172.7.兒童移動智能設備個人信息風險情況分析.183.全國通報應用概況.183.1.通報應用總量綜合情況.183.2.通報應用區域分布情況.193.3.通報應用功能類型分布情況.203.4.通報應用版本仍有效渠道分布情況.213.5.通報個人信息問題類型分布情況.214.全國移動互聯網應用漏洞風險概況.234.1.各等級風險漏洞情況.234.2.各風險漏洞類型應用排行情況.244.3.各功能類型存在高危風險漏洞的應用排行情況.255.政務類移動應用.255.1.政務類應用概況.255.2.政務類移動應用風險分析.285.3.政務類應用訪問域名情況分析.295.4.政務

3、類應用申請使用權限情況.296.流量移動互聯網應用情況分析.306.1.流量應用盜版/仿冒應用功能類型分布情況.306.2.流量數據中安全檢測情況.316.3.流量數據內容違規應用 ip 區域分布情況.327.全國移動互聯網應用植入惡意程序情況概況.337.1.主要惡意程序風險描述.337.2.惡意應用功能類型分布情況.348.境外 SDK 情況概述情況.358.1.境外 SDK 及嵌入境外 SDK 應用情況分析.358.2.嵌入境外 SDK 應用個人信息自動化檢測違規情況.368.3.嵌入境外 SDK 應用個人信息違規類型分析.378.4.嵌入境外 SDK 應用中疑似訪問境外 ip 情況分析

4、.388.5.境外 SDK 的敏感行為分析.399.移動互聯網應用技術安全保護措施.409.1.未采取技術安全保護措施的應用占比情況.409.2.未采取技術安全保護措施的應用功能類型分布情況.4110.個人信息安全保護措施.4210.1.移動應用個人信息安全分析.4210.2.移動應用的數據安全防護的重要性.4211.公司介紹.43前言疫情后時代，經濟增速的放緩，互聯網和移動應用（App）已成為我們生活不可或缺的部分。全球性的發展危機迫使社會各層面迅速適應新常態，人們越來越多地轉向線上活動，隨著智能手機和平板電腦等移動設備用戶數量的劇增，移動應用的數量和種類亦在不斷膨脹，加速了數字化轉型的步伐

5、。然而，伴隨著這一增長的是移動應用安全形勢的日益嚴峻。我們見證了惡意軟件的猖獗、數據泄露事件的頻發以及隱私侵犯問題的嚴重性，這些不僅威脅到廣大個人用戶的信息安全，也會對企業的數據資產構成潛在的風險。與此同時，各級政府和監管機構對移動應用的法規也在不斷更新和完善，以應對快速變化的網絡環境和保障用戶權益。例如，對于數據的收集、處理和跨境傳輸有了更為嚴格的要求；用戶隱私保護法律得到加強；對于應用內支付安全、未成年人在線保護等方面也有了新的指導方針。這些變化無疑為移動應用的開發、分發及運營帶來了新的挑戰和機遇。為了深入剖析這一復雜且多變的安全環境，并為所有環節相關者（無論是監管機構、企業、開發者還是普

6、通用戶）提供參考價值，愛加密公司利用在大數據分析和移動安全領域的專業知識，精心編撰了2024 年上半年全國移動應用安全觀測報告。本報告基于對過去一年全國移動應用安全事件的監測與分析，旨在描繪出移動應用安全的全貌，揭示安全隱患，并對未來的發展趨勢進行預測。報告內容涵蓋了移動應用渠道分析、全國通報概況、跨境傳輸分析、應用漏洞風險分析、技術保護措施、政策法規環境等多個維度，力求從多角度全面反映移動應用安全領域的真實情況。并對特定行業和用戶群體的安全問題給予了特別關注。需要強調的是，隨著移動技術和相關產業的持續進步，移動應用（尤其是小程序）安全的形勢也在不斷演變。因此，本報告中的觀點和結論僅代表當前的

7、研究和分析成果，我們將保持對移動應用安全動態的持續追蹤，并期待未來能夠提供更加全面和深入的視角。最后，我們期望本次編撰的2024 年上半年全國移動應用安全觀測報告能為廣大讀者提供實際價值。對于普通用戶，我們希望通過這份報告提高他們的安全意識，幫助他們在享受移動應用帶來的便利的同時，有效保護自己的信息安全。對于企業和監管機構，我們希望通過這份報告提供的深入分析和建議，可以幫助大家能夠更加了解充滿挑戰的移動應用領域。1.全國移動互聯網應用概況1.1.全國移動互聯網應用總量綜合情況截至 2024 年上半年，移動應用安全大數據平臺收錄全國 Android 應用共計467 萬款，iOS 應用共計 308

8、 萬款，微信公眾號 623 萬個，微信小程序 363 萬個。近年來 Android 應用新增幅度有所減緩，小程序增幅較大。2024 年上半年，全國總計新更新新上架的應用共計 15 萬款，如圖顯示各類資產每月都呈逐步增幅的情況。每月的新更新新上架應用量分別如下：近三年全國總量綜合情況2024 年上半年全國每月的新更新、新上架應用情況2024 年上半年更新的 Android 應用中，有 81.6%的應用有明確的開發、運營主體，其余的是個人開發者或者沒有實名登記開運營信息。從企業更新應用量來看（僅以應用上架發布的開發運營主體統計，未以有股權關系的關聯公司角度統計），北京*科技有限責任公司更新的應用產

9、量位居第一；其次是北京*科技發展有限公司；廣州*網絡科技有限公司位列第三。排名排名開發企業開發企業更新應用量更新應用量1北京*科技有限責任公司4172北京*科技發展有限公司3003廣州*網絡科技有限公司2914廈門*網絡科技有限公司2735深圳*咨詢有限公司2486藍潤*集團有限公司2437深圳市騰訊*有限公司2308深圳市*科技有限公司2199廈門*科技有限公司21910深圳*有限公司204全國開發者發布應用數量 TOP101.2.全國移動應用分發渠道分布截至 2024 年上半年，移動應用安全大數據平臺納入監測的應用渠道數量總計有 1900+個。其中，全國活躍應用（即 3 個月內有更新的應用

10、）總計 107863款。從活躍應用分布的渠道來看，小米應用商店共計發布應用 4.2 萬款，占比39.1%；vivo(App)共計發布應用 4.1 萬款，占比 38.7%；oppo(App)，共計發布應用 2.9 萬款，占比 27.4%。移動端應用市場是更新發布應用的主要渠道：活躍應用在各渠道應用量排行 TOP101.3.全國活躍移動互聯網應用功能類型分布情況截至到 2024 年上半年，全國活躍應用總計 10 萬款。從功能類型來看，游戲類應用活躍度較高，占全國活躍應用總量的 50.8%，位居第一，近三年對比，游戲應用呈遠低于以往；生活實用類應用數量占全國活躍應用的 13.3%，位居第二；辦公學習

11、類應用數量占全國活躍應用的 8.9%，位居第三。相比前兩年，游戲類應用活躍度有所下降，但仍然占據活躍應用的一半，生活實用類應用活躍度呈上升趨勢。全國活躍應用功能分類情況1.4.全國移動互聯網應用地域分布情況截止 2024 年上半年，全國 467 萬款 Android 應用中有 92 萬款可以根據明確的開發、運營主體進行歸屬地劃分，下列區域分布僅基于這 92 萬款做分析。從區域來看，廣東省應用產量位居第一，占全國應用總量的 29.9%；其次是北京市，占總量的 17.2%；上海市位列第三，占總量的 9.2%。相比前兩年，廣東省新發布的應用占比呈逐年上升趨勢，北京市占比有所下降。以下是全國應用地域分

12、布TOP10：全國 Android 應用區域分布情況 TOP10全國共有 308 萬款 iOS 應用，有 11 萬款可以根據明確的開發、運營主體進行歸屬地劃分，下列區域分布僅基于這 11 萬款做分析。從區域來看，北京市應用數量位居第一，占全國應用總量的 17.8%；其次是廣東省，占總量的 17.8%；上海市位列第三，占總量的 10.4%。全國 iOS 區域分布情況 TOP10全國共有 623 萬款微信公眾號，有 75 萬款可以根據明確的開發、運營主體進行歸屬地劃分，下列區域分布僅基于這 75 萬款做分析。從區域來看，廣東省應用數量位居第一，占全國應用總量的 16.4%；其次是北京市，占總量的

13、8.8%；浙江省位列第三，占總量的 7.4%。全國微信公眾號區域分布情況 TOP10全國共有 362 萬款微信小程序，有 214 萬款可以根據明確的開發、運營主體進行歸屬地劃分，下列區域分布僅基于這 214 萬款做分析。從區域來看，廣東省應用數量位居第一，占全國應用總量的 16.5%；其次是山東省，占總量的 7.0%；江蘇省位列第三，占總量的 6.8%。全國微信小程序區域分布情況 TOP101.5.全國移動互聯網應用下載量情況截至 2024 年上半年，結合各渠道的下載量統計，考慮渠道的權重（渠道的影響力，公信力，專業度）等綜合因素進行分析，以下是 Android 下載量 TOP10排行情況：排

14、名排名圖標圖標應用名稱應用名稱開發者名稱開發者名稱2024 年上半年下載量（億）2024 年上半年下載量（億）2023 年上半年下載量（億）2023 年上半年下載量（億）1抖音北京微播視界科技有限公司10859572拼多多上海尋夢信息技術有限公司95010203快手北京快手科技有限公司8197424百度百度在線網絡技術（北京）有限公司6566055微信深圳市騰訊計算機系統有限公司6294856QQ深圳市騰訊計算機系統有限公司5955207WiFi 萬能鑰匙南京尚網網絡科技有限公司5945788騰訊視頻騰訊科技（北京）有限公司5924799手機淘寶淘寶（中國）軟件有限公司55655810支付寶螞

15、蟻金服（杭州）網絡技術有限公司548485全國 Android 下載量排行 TOP102.全國移動互聯網應用在個人信息保護方面情況概述2.1.個人信息人工深度檢測違規情況2024 年上半年人工針對 App 的個人信息安全合規問題進行抽樣性檢測，根據 App 違法違規收集使用個人信息行為認定方法（國信辦秘字 2019 191 號）（以下簡稱191 號文），發現存在“未明示收集使用個人信息的目的、方式和范圍”問題的應用數量最多，占檢測總量的 58.8%，較之去年增加 11.4%。降幅最大的是“未經用戶同意收集使用個人信息”，降幅超過了 20%。詳見下圖：App 個人信息安全合規問題2.2.個人信息

16、自動化檢測違規情況2024 年上半年移動應用大數據平臺針對全國 Android 應用進行了個人信息合規性抽樣檢測，總計送檢 20 萬+款應用。其中，存在“違規收集個人信息”的占比 22.0%，同比去年有所下降；存在“App 頻繁自啟動和關聯啟動”的占比 15.3%也呈現下降趨勢；存在“App 強制、頻繁、過度索取權限”的占比為 14.0%，相比前兩年呈現上升趨勢。開發企業、運營企業作為責任主體應堅持嚴格自律，而廣大用戶則需要增強隱私保護意識，不輕易安裝來源不明的移動應用。Android 應用違規類型分布2.3.應用申請使用權限情況從 Android 應用申請的權限進行分析，其中“申請寫入外部存

17、儲”的應用最多，占檢測應用總量的 98.4%；其次是“訪問網絡”的應用，占應用總量的 95.7%；排名第三的是“訪問網絡信息”的應用，占應用總量的 94.5%。大部分應用都需要進行向手機存儲一定的數據或文件，也會從手機獲取文件及向手機寫入文件的權限，但很多應用會借緩存圖片之名請求外部存儲權限，實際上應用都有自己的單獨存儲空間，要外部權限就是想獲取你的各種文件，比如相冊等，只要不影響使用，就不要同意。如果影響使用了再結合實際情況考慮，不要將敏感信息（證件照等）存儲在相冊等開放區域。下圖為各類型權限的詳細信息：Android 應用申請權限 TOP102.4.數據跨境傳輸目的地分布情況對送檢的 20

18、 萬+款 Android 應用的數據傳輸行為分析，發現涉嫌存在“將數據傳輸至境外服務器”的移動應用占比 15.9%。數據流向多個國家和地區。排名第一的目的地是美國，占比 65.5%；排名第二的是中國香港，占比 26.3%；排名第三的是日本，占比 20.3%。美國連續三年位居第一，且逐年呈現上升趨勢。Android 應用數據跨境傳輸目的地 TOP10結合相關移動應用的功能分類來看，涉及數據跨境傳輸的移動應用中，游戲類應用占該類型檢測總量的 27.9%，排名第一；生活實用類應用占該類型檢測總量的 18.0%，排名第二；影音播放類應用占該類型檢測總量的 11.8%，排名第三。涉及數據跨境傳輸 And

19、roid 應用的功能分類 TOP102.5.數據明文傳輸類型情況據個人信息合規性檢測結果顯示，有 59272 款 Android 應用存在“明文傳輸”的違規情況。從傳輸個人信息類型進行分析來看：存在“明文傳輸”的違規應用中傳輸“個人常用設備信息”的應用占比最高，達到了 69.2%；其次是傳輸“個人基本資料”的應用，占比為 20.7%；排名第三是傳輸“網絡身份標識信息”的應用，占比為 20.4%。相比前兩年傳輸“個人基本資料”和“網絡身份標識信息”降幅較大，傳輸“個人基本資料”相比去年有小幅降低。隨著監管機構對數據安全，特別是個人信息保護的重視，出臺嚴格的數據保護法規，如中華人民共和國個人信息保

20、護法等。這些法規明確要求企業對個人數據應采取相應的加密、去標識化等安全技術措施。相關行業組織和機構也制定了數據安全的標準和指南，促進企業遵循規范進行數據傳輸。同時隨著近兩年來，加密技術不斷發展和成熟，使得加密傳輸個人資料變得更加便捷和高效。下圖為存在明文傳輸的 Android應用中傳輸個人信息類型詳情：Android 應用傳輸個人信息類型2.6.應用敏感行為情況移動應用大數據平臺通過對應用的敏感行為分析，共發現 36782 款應用存在敏感行為。具體來看，“監聽通話狀態”這一行為占比最高，為 34.5%；排名第二的是“監聽定位”，占比 31.5%；排名第三的是“獲取電話號碼”，占比為 7.6%。

21、Android 應用敏感行為類型2.7.兒童移動智能設備個人信息風險情況分析隨著移動互聯網的普及，未成年使用 App 的頻率逐漸增高，其中不乏一些存在個人信息違規行為的 App。這些 App 可能未經用戶同意就收集、使用或泄露未成年人的個人信息，給未成年人的隱私安全帶來嚴重威脅，為進一步營造有利于未成年人身心健康的網絡環境，保障未成年人合法權益，未成年人網絡保護條例在 2024 年 1 月 1 日起施行，其中條例明確提出了移動應用在個人信息方面的規定。本次愛加密抽檢了 622 款兒童相關的智能手表、平板類的應用送檢，其中有 284 款存在個人信息違規，而“違規收集個人信息”占 67.0%，位居

22、第一；“違規使用個人信息”占 14.0%，排名第二；具體情況如下：兒童類型應用的分發渠道 TOP10由此可見，未成年使用的 App 存在個人信息違規是一個巨大隱患，需要政府、家長、App 開發者以及社會各界共同努力來解決。通過加強監管、提高家長意識、提升 App 安全性和加強教育引導等措施的實施，我們可以為未成年人營造一個更加安全、健康的網絡環境。3.全國通報應用概況3.1.通報應用總量綜合情況2024 年上半年全國總計通報 977 款，其中通報 Android 應用 889 款，占全國通報應用的 91.0%；通報 SDK 41 款，占全國通報應用的 4.2%；通報小程序 30款，占全國通報應

23、用的 3.1%；通報 iOS 17 款，占全國通報應用的 1.7%。個人信息違規通報資產分布2024 年上半年全國總計通報的應用 977 款，其中，各地通管局通報應用 549款，占全國通報應用的 56.2%；工信部通報 197 款，占全國通報應用的 20.2%；各地網信辦通報 192 款，占全國通報應用的 19.7%。個人信息違規通報機構分布3.2.通報應用區域分布情況根據通報應用所屬區域來看，通報重慶市應用數量占總量的 17.1%，位居第一；通報山東省應用數量占總量的 12.5%，位居第二；通報浙江省應用數量占總量的 6.4%，位居第三。下圖為全國通報應用區域分布情況：通報應用區域分布 TO

24、P103.3.通報應用功能類型分布情況根據通報應用所屬功能分類來看，生活實用類應用通報數量占總量的 26.6%，位居第一；辦公學習類應用通報數量占總量的 21.6%，位居第二；旅游出行類應用通報數量占總量的 9.4%，位居第三。與同期對比來看全國通報應用主要集中在日常生活的娛樂、生活和學習方面，監管機構對于民生、學習類應用密切關注，不僅僅是因為這類應用用戶基數大，也是因為應用的功能性越來越多樣化，用戶的權益以及個人隱私數據都需要進行安全保障。下圖為全國通報應用功能類型分布情況：通報應用功能分類分布 TOP103.4.通報應用版本仍有效渠道分布情況從通報應用的通報版本來看，通過跟蹤通報的 977

25、 款移動應用相關版本的有效下載渠道，發現截至當前，仍有 387 款應用的通報版本在部分渠道可以下載。其中手機助手、錘子商店(App)、樂商店占據前三甲。詳情如下：各渠道排行 TOP103.5.通報個人信息問題類型分布情況針對全國通報的應用進行個人信息違規類型統計，結果顯示，45.3%的應用存在“違規收集個人信息”的情況；25.0%的應用存在“App 強制、頻繁、過度、索取權限”的情況；19.6%的應用存在“未明示收集使用個人信息的目的、方式和范圍”的情況。同期對比來看，總體比去年呈上升趨勢，監管機構對于移動應用在個人信息問題方面越發嚴格，監管的力度也在逐步加強；具體違規詳情如下：通報類型通報類

26、型2024 年上半年2024 年上半年2023 年上半年2023 年上半年趨勢趨勢違規收集個人信息45.3%42.5%App 強制、頻繁、過度索取權限25.0%23.1%未明示收集使用個人信息的目的、方式和范圍19.6%17.5%違反必要原則，收集與其提供的服務無關的個人信息17.7%16.3%App 頻繁自啟動和關聯啟動10.1%11.3%超范圍收集個人信息9.9%7.6%欺騙誤導強迫用戶8.4%2.3%未經用戶同意收集使用個人信息6.5%16.0%違規使用個人信息4.6%6.0%未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息3.6%3.5%個人信息違規類型分布 TOP1

27、0近年來總計通報 SDK 41 款，移動應用大數據平臺針對通報的 SDK 進行了個人信息違規類型統計，結果顯示，68.3%的 SDK 存在“SDK 使用說明不完整”、“超范圍收集個人信息”的情況；61.0%的 SDK 存在“違規收集個人信息”的情況。具體違規詳情如下：SDK 的通報問題分析4.全國移動互聯網應用漏洞風險概況4.1.各等級風險漏洞情況移動應用大數據平臺安全利用安全檢測引擎對有更新的應用，進行 140 項漏洞掃描。檢查結果顯示：有高達 76.9%的應用被識別為高危應用。這個比例相比于過去兩年有了 4.1%的小幅增長。這個數據表明，盡管我們在技術和安全措施上有所進步，但是高危漏洞在移

28、動互聯網應用中的存在仍然是一個嚴重的問題，因為它意味著我們的個人信息、財務信息和其他重要數據可能會因為這些漏洞而受到威脅。Android 應用不同風險等級漏洞的應用占比4.2.各風險漏洞類型應用排行情況截至 2024 年上半年，全國 343 萬款 Android 應用通過移動應用安全平臺進行風險檢測，其中，有高危漏洞的應用約 248 萬款，占應用總數的 76.9%。本年度排名前三的漏洞分別是：“Janus 漏洞”、“截屏攻擊風險”、“未移除有風險的 WebView 系統隱藏接口漏洞”。存在漏洞較多的移動應用更加容易受到攻擊，造成用戶隱私泄露或直接的財產損失，應用運營者/開發者應采取安全加固等有

29、效措施，防范和應對網絡攻擊，保障系統安全平穩運行。詳見下圖：漏洞類型漏洞類型2022 年上半年2022 年上半年2023 年上半年2023 年上半年2024 年上半年2024 年上半年趨勢趨勢Janus 漏洞57.90%75.40%70.60%截屏攻擊風險53.80%68.60%64.20%未移除有風險的 WebView 系統隱藏接口漏洞50.80%67.40%63.60%模擬器運行風險49.90%65.40%61.20%Java 代碼加殼檢測50.60%64.10%60.00%日志數據泄露風險49.90%63.10%59.00%全局異常47.80%62.10%58.20%終端 ROOT 狀態

30、檢測46.50%61.50%57.60%URL 硬編碼風險46.00%57.40%53.60%WebView File 域同源策略繞過漏洞43.10%54.40%50.90%Android 應用漏洞類型排行相較于去年同期數據，TOP10 漏洞均為下降的趨勢，在新的安全技術和工具的不斷涌現，不僅更高效地檢測，也能盡快修復漏洞，同時也可以看出監管機構對于移動應用安全的監管力度加大，有效的提高了移動應用的安全性，但是，我們也不能掉以輕心，目前仍有大量 App 未采取有效的安全措施，需要監管機構和開發、運用者共同努力來加強安全防護和漏洞修復工作。4.3.各功能類型存在高危風險漏洞的應用排行情況在對移動

31、應用進行安全性檢測時，我們發現某些類型的應用存在高危漏洞的風險特別高。具體來看，主題壁紙類應用在這方面的問題尤為突出，其存在高危漏洞的應用數量占到了我們檢測總量的 92.0%，這一比例在所有功能類型中是最高的。這意味著，幾乎每一款主題壁紙類應用都可能存在至少一個高危漏洞。緊隨其后的是拍攝美化類應用，存在高危漏洞的應用數量占檢測總量的88.6%。第三名是系統工具類應用，高危漏洞的應用數量占檢測總量的 87.2%。與過去兩年的數據相比，2024 年上半年移動應用存在的高危漏洞比例總體上超過了 2.06%，這一趨勢表明移動應用的安全問題仍然十分嚴峻。當移動應用存在漏洞時，它們很可能成為攻擊者的目標。

32、攻擊者可以利用這些漏洞進行惡意攻擊，不僅可能導致用戶數據的泄露，還可能篡改數據，給用戶帶來嚴重的隱私和財產損失。存在高危漏洞風險的應用功能類型占比 TOP105.政務類移動應用5.1.政務類應用概況大數據平臺監測范圍覆蓋下總計發現政務類應用量 9 千余款。從這部分政務類應用分布的渠道來看，vivo(App)、小米應用商店、騰飛網占據應用市場排名前三甲。很大一部分應用分布在小渠道中（小渠道是指應用數量相對較少、知名度相對較低的渠道），小渠道的活躍應用違規行為較多，且大部分小渠道的服務器放在境外，沒有在國內進行備案，無法準確監控。詳情如下：應用區域分布 Top10根據這部分政務類應用所屬區域來看，

33、北京市應用數量占總量的 17.6%，位居第一；廣東省應用數量占總量的 9.4%，位居第二；江蘇省應用數量占總量的8.9%，位居第三。這顯示出政務類移動應用主要集中在沿海發達區域，與區域經濟發展情況密切相關。從日常反饋看，此類移動應用獲取個人信息較多，安全風險較大。詳情如下：各渠道排行 Top10結合各渠道的下載量統計，考慮渠道的權重（渠道的影響力，公信力，專業度）等綜合因素進行分析，這部分政務類應用累計下載量排名前列的 Android應用分別是：交管 12123 87.7 億+次，個人所得稅 71.9 億+次，國家反詐中心48.5 億+次。（注：下載量是指愛加密移動應用安全大數據平臺綜合智能分

34、析的下載量，僅作參考）以下是應用下載量 TOP10 排行情況：排名排名應用名稱應用名稱開發者名稱開發者名稱下載量（億）下載量（億）1交管 12123公安部交通管理科學研究所87.72個人所得稅國家稅務總局稅收大數據和風險管理局71.93國家反詐中心中華人民共和國公安部48.54學習強國中央宣傳部宣傳輿情研究中心45.15鐵路 12306中國國家鐵路集團有限公司22.86智慧中小學教育部教育技術與資源發展中心10.57閩政通福建省經濟信息中心6.28皖事通訊飛智元信息科技有限公司6.09浙里辦數字浙江技術運營有限公司5.910社會幫扶中國鄉村發展志愿服務促進會2.3移動應用下載量排行 Top10

35、5.2.政務類移動應用風險分析愛加密移動應用安全大數據平臺利用安全檢測引擎，對這部分政務類應用進行 140 項漏洞掃描，80.5%的應用存在高危漏洞風險（同一個應用可能存在多個等級的漏洞）。具體情況如下：不同風險等級漏洞的應用占比已完成檢測的應用中，僅從高危漏洞來看，存在的加固殼識別風險 Android應用數量最多，占檢測總數的 39.9%；其次是 Java 代碼反編譯風險，占檢測總數的 39.2%；排在第三位的是數據庫注入漏洞，占檢測總數的 34.4%。詳情如下：高危漏洞類型應用排行5.3.政務類應用訪問域名情況分析根據應用訪問域名的情況分析，應用訪問最多的頂級域名前三是：“”；“”；“”，

36、分別占比為“38.6%”；“28.1%”；“27.3%”。以下為頂級域名訪問 top10：應用訪問域名 top105.4.政務類應用申請使用權限情況根據應用獲取敏感權限情況分析，獲取最多的敏感權限是“寫入外部存儲”，95.0%的Android應用存在獲取此權限；其次是“讀取手機狀態”，89.4%的 Android應用存在獲取此權限；排名第三的是“讀取外部存儲”，86.3%的 Android 應用存在獲取此權限。根據應用獲取所有的權限情況分析，獲取最多的敏感權限是“訪問網絡”，100.0%的 Android 應用存在獲取此權限；其次是“訪問網絡信息”，98.4%的Android 應用存在獲取此權

37、限；排名第三的是“寫入外部存儲”，95.0%的 Android應用存在獲取此權限。下圖為應用獲取權限情況 top10 詳情：敏感權限敏感權限全量權限全量權限權限名稱權限名稱獲取該權限應用占比獲取該權限應用占比權限名稱權限名稱獲取該權限應用占比獲取該權限應用占比寫入外部存儲95.0%訪問網絡100.0%讀取手機狀態89.4%訪問網絡信息98.4%讀取外部存儲86.3%寫入外部存儲95.0%使用照相設備84.2%訪問 Wi-Fi 網絡信息92.3%訪問近似位置83.5%讀取手機狀態89.4%獲取精確位置82.9%讀取外部存儲86.3%改變 WiFi 連接狀態78.1%使用照相設備84.2%安裝應用

38、程序67.8%訪問近似位置83.5%獲取任務信息63.4%獲取精確位置82.9%錄音59.7%訪問振動設備80.8%應用獲取權限情況 top10 詳情6.流量數據風險情況分析6.1.流量數據盜版/仿冒應用功能類型分布情況愛加密通過與監管機構合作，對部分區域的流量數據進行監測分析，總計監測應用約 10 萬款。經過大數據分析，其中有 2 萬余款應用未在正規應用商店上架，占流量中發現應用數的 24.5%。這種僅在流量中傳播的應用，大多數通過點對點或者私人架設服務器傳播，應用可能存在違反法律法規、侵犯用戶權益等行為。用戶也難以確定應用的來源和安全性，更容易下載到包含惡意代碼或存在安全漏洞的應用，導致隱

39、私泄露、設備受損等問題。針對上半年監測的流量數據進行盜版/仿冒檢測，檢測結果統計顯示疑似盜版仿冒的應用 3648 款，從應用功能類型分布來看，排名前三的功能類型為：影音播放類、游戲類、系統工具類。盜版/仿冒應用功能類型分布 TOP106.2.流量數據安全檢測情況從流量數據發現的應用漏洞掃描情況來看，檢查結果顯示：有高達 89.0%的應用被識別為高危應用。排名前三的高危漏洞分別是：“加固殼識別風險”、“Java 代碼反編譯風險”、“SO 文件破解風險”，具體情況如下：流量渠道應用漏洞情況6.3.流量數據內容違規應用 ip 區域分布情況愛加密通過對流量數據發現的部分應用進行內容違規檢測，其中發現涉

40、黃的應用 812 款，涉賭的應用 398 款。涉賭類應用往往都是涉及彩票或者棋牌游戲等應用，而涉黃類應用大多數都是影音播放中的直播視頻或者資訊閱讀中的漫畫類應用。通過對這部分應用的訪問 ip 歸屬地分析（同一應用可能訪問多個 ip）。從境內來看，訪問 ip 歸屬華中地區的應用最多，占比為 32.5%，其次是華東地區，占比為 28.6%；從訪問境外 ip 來看，相比常規應用商店采集的應用，流量渠道發現的涉黃涉賭應用訪問境外 ip 的比例明顯更高，達到了 45.6%，可能存在較高的風險。其中，ip 訪問歸屬美國的應用最多，占比為 21.8%，其次是中國香港，占比為 17.1%，排名第三的是中國臺灣

41、，占比為 5.2%。以下為境外區域詳情分布：流量渠道應用訪問境外 ip 區域分布情況7.全國移動互聯網應用植入惡意程序情況概況近年來，移動互聯網應用植入惡意程序的情況近年來呈現出增長的趨勢，這些惡意程序可能會竊取用戶的個人信息、破壞系統、惡意扣費、彈出廣告等，對移動用戶的個人信息及財產安全帶來巨大的威脅。7.1.主要惡意程序風險描述截至 2024 年上半年，全國累計含有惡意程序的應用 29 萬款，其中惡意程序類型以“流氓行為”為主，這些惡意程序主要存在對移動用戶的隱私數據收集、惡意扣費、流量資源消耗、系統破壞和廣告推送等多種惡意行為，對移動用戶的個人信息及財產安全帶來巨大的威脅。詳見下圖：惡意

42、程序類型統計表7.2.惡意應用功能類型分布情況從功能類型來看，游戲應用類存在惡意應用的數量占全國惡意應用總量的44.0%，位居第一；資訊閱讀類存在惡意應用的數量占全國惡意應用總量的 7.6%，位居第二；金融理財類存在惡意應用的數量占全國惡意應用總量的 7.5%，位居第三。存在惡意應用最多的功能類型是游戲應用類，遠遠超過其它類型，需要加強對這類惡意應用的排查。這類惡意軟件可能會以廣告軟件的形式出現，通過彈窗廣告干擾用戶，或者更糟糕的是，利用用戶瀏覽器的漏洞進行偷渡式下載，安裝惡意程序到用戶的設備上，模仿流行游戲的惡意軟件和不需要的軟件；詳情見下圖：惡意應用功能類型分布 TOP108.境外 SDK

43、 情況概述情況8.1.境外 SDK 及嵌入境外 SDK 應用情況分析根據移動應用大數據平臺提供的數據，截至到當前，共計收錄境外 SDK 4244款，2024 年上半年更新的應用中嵌入了境外 SDK 應用總計 44213 款。從這部分應用的功能類型來看，生活實用類、游戲類及辦公學習類應用居多，占比分別為22.5%、22.4%、16.0%。從應用分布區域來看，廣東省、北京市以及江蘇省居多，占比為 25.3%、15.2%、9.2%。下圖為嵌入境外 SDK 的應用功能類型及區域分布Top10：嵌入境外 SDK 的應用的能類型及區域分布 top108.2.嵌入境外 SDK 應用個人信息自動化檢測違規情況

44、移動應用大數據平臺針對嵌入了境外SDK的應用總計4.4萬款App進行了個人信息合規性檢測，其中 58.6%存在個人信息自動化檢測違規情況。這部分存在違規情況的應用中，由 SDK 引起的違規情況占比為 18.8%。嵌入境外 SDK 應用個人信息自動化檢測違規情況8.3.嵌入境外 SDK 應用個人信息違規類型分析從個人信息自動化檢測結果來進行分析，存在“違規收集個人信息”的占比25.1%；存在“App 強制、頻繁、過度索取權限”的占比 22.4%；存在“App 頻繁自啟動和關聯啟動”的占比為 19.6%。詳情如下：個人信息違規類型分布由 SDK 引起的違規情況中，存在“App 未見向用戶明示 SD

45、K 收集使用個人信息的目的、方式和范圍，未經用戶同意，SDK 存在收集 IMEI、設備 MAC 地址和軟件安裝列表、通訊錄和短信的行為”的占比 31.4%；存在“App 向用戶明示 SDK的收集使用規則，但未見清晰明示 SDK 收集設備 MAC 地址、軟件安裝列表等的目的方式范圍，用戶同意隱私政策后，SDK 存在收集設備 MAC 地址、軟件安裝列表的行為”的占比 12.0%。由 SDK 引起的個人信息違規由 SDK 引起的個人信息違規占送檢應用比例占送檢應用比例App 未見向用戶明示 SDK 收集使用個人信息的目的、方式和范圍，未經用戶同意，SDK 存在收集 IMEI、設備 MAC 地址和軟件

46、安裝列表、通訊錄和短信的行為。31.4%App 向用戶明示 SDK 的收集使用規則，但未見清晰明示 SDK 收集設備 MAC 地址、軟件安裝列表等的目的方式范圍，用戶同意隱私政策后，SDK 存在收集設備 MAC 地址、軟件安裝列表的行為。12.0%App 向用戶明示 SDK 的收集使用規則，未經用戶同意，SDK 存在收集 IMEI、設備 MAC 地址和軟件安裝列表、通訊錄和短信的行為。7.8%App 未見向用戶明示 SDK 的收集使用規則，未經用戶同意，SDK 存在每 30s讀取一次位置信息，非服務所必需且無合理應用場景，超出實現產品或服務的業務功能所必需的最低頻率。7.7%App 未向用戶明

47、示 SDK 的收集使用規則，未經用戶同意，SDK 在靜默狀態下或在后臺運行時，存在按照一定頻次收集位置信息、IMEI、通訊錄、短信、圖片等信息的行為，非服務所必需且無合理應用場景，超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。4.9%App 未見向用戶明示 SDK 的收集使用規則，未經用戶同意，SDK 存在收集通訊錄、短信、通話記錄、相機等信息的行為，非服務所必需且無合理應用場景，超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。0.4%App 未向用戶明示 SDK 的收集使用規則，未經用戶同意，SDK 在靜默狀態下或在后臺運行時，存在收集通訊錄、短信、通話記錄、相機等信息

48、的行為，非服務所必需且無合理應用場景，超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。0.3%由 SDK 引起的個人信息違規類型分布8.4.嵌入境外 SDK 應用中疑似訪問境外 ip 情況分析針對全國嵌入境外 SDK 應用進行了個人信息合規性檢測，發現疑似存在訪問境外 ip 的移動應用占比 17.0%。其中，由 SDK 引起的境外 ip 訪問應用的占比為17.6%。嵌入境外 SDK 應用中疑似訪問境外 ip 情況其中，由 SDK 引起的境外 ip 訪問應用占比 17.6%。數據流向多個國家和地區。排名第一的目的地是美國，占比 61.6%；排名第二的是中國 香港，占比 21.3%；排名

49、第三的是日本，占比 20.2%。由 SDK 引起的訪問境外 ip 地域分布8.5.境外 SDK 的敏感行為分析移動應用大數據平臺通過對部分境外SDK觸發的敏感行為分析，共發現 8305款應用嵌入的境外 SDK 存在敏感行為。具體來看，“刪除文件”這一行為占比最高，為 82.3%；排名第二的是“讀取系統設置”，占比 80.0%；排名第三的是“修改文件名”，占比為 75.0%。境外 SDK 的敏感行為9.移動互聯網應用技術安全保護措施9.1.未采取技術安全保護措施的應用占比情況對全國移動應用中未采取技術安全保護措施的應用（即未加固應用）情況進行統計，已采取技術安全保護措施的應用總計 41 萬款，占

50、 8.9%，未采取技術安全保護措施的應用占總量的 91.1%。應用如果不進行技術安全保護措施會無法確保應用安全，無法防止被破解、二次打包、惡意篡改等。近三年未采取技術安全保護措施的應用占比變化如下：近三年未采取技術安全保護措施的應用占比這些數據表明，盡管有一小部分應用已經采取了某種形式的技術安全保護措施，但絕大部分應用仍然沒有采取任何安全措施。這一趨勢在所研究的三年內基本保持穩定，且未采取措施的應用比例略有上升。因此，建議開發者、服務提供商以及相關政策制定者加強對移動應用安全性的關注。特別是對于未采取安全措施的應用，應進行詳細的風險評估，并采取適當的安全加固措施。此外，用戶也應提高對應用安全性

51、的認識，選擇那些已采取安全措施的應用進行下載和使用?？傊?，雖然目前大部分應用尚未采取技術安全保護措施，但通過持續的努力和合作，我們可以提高整個移動應用市場的安全性，保護用戶的隱私和數據安全。9.2.未采取技術安全保護措施的應用功能類型分布情況通過對未采取技術安全保護措施的應用功能類型進行統計發現，主題壁紙類未采取技術安全保護措施應用占該類型應用總量的 89.0%，排名第一；其次是拍攝美化類應用，占該類型總量的 78.5%；排名第三的是系統工具類應用，占該類型總量的 70.1%。在各功能類型中，主題壁紙類應用未采取技術安全保護措施占比最高。詳見下圖：未采取技術安全保護措施應用功能類型分布 TOP

52、1010.個人信息安全保護措施10.1.移動應用個人信息安全分析根據以上報告個人信息相關數據來看，自 2019 年至今工信部首次針對移動應用開展專項檢查，已達到 40 批次，由此可見，監管在移動應用針對用戶權益這一塊的重視，而個人隱私不合規的風險主要體現在多個方面，這些風險不僅關乎用戶的個人信息安全，還可能對用戶的財產、名譽和日常生活造成嚴重影響，其中包括隱私泄露、隱私侵犯、隱私濫用和法律責任風險等。為了降低這些風險，建議用戶在使用移動應用時，仔細閱讀應用的隱私政策，了解個人信息如何被收集和使用，并謹慎授權應用訪問個人信息。同時，應用開發者應嚴格遵守相關法律法規，加強用戶隱私保護意識，采取必要

53、的安全措施保護用戶信息的安全和隱私。此外，政府和監管機構也應加強監管和執法力度，打擊個人隱私不合規的行為，保護用戶的合法權益。由此可見，監管機構也在不斷在完善相關法律法規體系，為移動應用的安全保護提供有力的法律保障。10.2.移動應用的數據安全防護的重要性近年來，隨著網絡安全法、未成年人網絡保護條例等相關條例的頒布，創建綠色網絡環境成為重要目標之一，而構建綠色網絡環境是一個綜合性的過程，它涉及到多個方面，包括技術、政策、法規、用戶教育等。監管需要制定明確的政策和法規，提供法律和政策支持；企業需要加強技術創新和研發，優化產品設計和用戶體驗，加強監管和審核；用戶需要提高安全意識和防范能力，積極參與

54、產品的安全監督和反饋。只有形成多方共治的良好局面，才能推動互聯網產品的健康發展。如下建議：建立完善的網絡監管體系，加強對網絡平臺的監管和執法力度，對違法違規的網絡行為進行嚴厲打擊，依法追究相關責任人的法律責任建立健全網絡安全防護體系，提高網絡系統的安全性和穩定性，加強個人信息保護，防止用戶隱私泄露和濫用。加強互聯網產業內部的協作和合作，共同推動綠色網絡環境的建設。11.公司介紹北京智游網安科技有限公司成立于 2013 年，是深圳國華網安科技股份有限公司子公司（股票代碼：000004），總部位于北京，擁有員工 300 多人。愛加密是專業的移動信息安全服務提供商，專注于移動應用安全、大數據、物聯網及工業互聯網安全，致力于為客戶提供全方位、一站式的移動安全全生命周期解決方案。愛加密產品體系和服務能力，貫穿了應用設計評估、安全開發測試、應用優化、應用安全發布及應用上線運營階段的整個生命周期。目前行業用戶遍及金融、運營商、政府、電商、能源、教育、游戲等多個行業。至今共服務企業及開發者用戶 50 萬+，保護移動應用 100 萬+，監測互聯網應用 1500 萬+，累計覆蓋 10億移動終端。