在移动互联网应用蓬勃发展的今天,手机已经成为广大人民群众日常生活中不可或缺的工具。手机上的新闻资讯、网上购物等各类移动应用,为我们工作生活提供极大的便利,是推动我国经济社会发展的新动能。
与此同时,App存在种种违法违规收集使用个人信息的行为,例如:无公开的隐私政策或隐私政策不完整、超范围收集个人信息,通过强制索权收集超过必要的个人信息等,使得互联网用户的个人信息面临着被非法收集、滥用、泄露等风险。如何保护个人信息安全,已经成为刻不容缓需要解决的问题。
建党100周年之际,为了深入贯彻习总书记提出的“没有网络安全就没有国家安全”的重要指示,且维护网络安全是维护社会稳定、打击涉网违法犯罪的重要举措,由国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),已于5月1日正式施行。
截止到2021年3月,爱加密移动应用安全大数据平台收录全国Android应用共计332万款,iOS 应用共计213万款,微信公众号512万个,微信小程序69万个。(以下仅针对于Android进行分析)2021年第一季度,全国总计新增应用70033款,本季度增幅为2.15%。三个月的增幅分别如下:
2021年全国第一季度每月应用新增量及增幅对比
全国332万款App中,有731047款可以根据明确的开发、运营主体进行归属地划分,下列区域分布仅基于这731047款做分析。从区域来看,广东省地区App产量位居第一,占App总量的30.02%;其次是北京市地区,占总量的19.48%;上海市地区位列第三,占总量的9.94%。
全国移动应用区域分布情况TOP10
从功能类型来看,游戏类应用App应用数量占全国总量的30.91%,位居第一;生活实用类应用数量占全国总量的8.87%,位居第二;系统工具类应用数量占全国总量的5.11%,位居第三。
全国移动应用功能类型分布情况
截止到2021年3月,结合各渠道的下载量统计,考虑渠道的权重(渠道的影响力,公信力,专业度)等综合因素进行分析,全国累计下载量排名前列的应用分别是:拼多多333亿次,手机淘宝284亿次,微信279亿次,(注:下载量是指爱加密移动应用安全大数据平台综合智能分析的下载量,仅作参考),与去年年底对比,手机淘宝上升至第二名,快手、抖音等短视频应用下载量也在快速增加。 以下是应用下载量TOP10排行情况:
全国移动应用下载量排行TOP10
截止到2021年3月,全国活跃应用(三个月有更新的应用)总计70033款,从功能类型来看,游戏类App应用活跃度较高,占全国活跃应用总量的54.66%,位居第一;办公学习类应用数量占全国活跃应用的10.09%,位居第二;生活实用类应用数量占全国活跃应用的9.61%,位居第三。
全国活跃应用功能分类情况
截止到2021年3月,爱加密移动应用安全大数据平台利用安全检测引擎,对全国内2397539款应用进行104项漏洞扫描,其中,85%以上的应用存在漏洞风险。
全国2397539款Android应用通过移动应用安全平台进行风险检测,其中,本年度排名前三的漏洞分别是:“Janus漏洞”、“截屏攻击风险”、“模拟器运行风险”。详见下图:
漏洞类型应用排行
从功能类型来看,游戏类存在高危漏洞风险的应用数量占全国总量的29.69%,位居第一;生活实用类存在漏洞风险的应用数量占全国总量的9.37%,位居第二;系统工具类存在漏洞风险的应用数量占全国总量的5.58%,位居第三。游戏类应用在全国应用总量占比最高,也是存在高危漏洞最多的应用,如果受到攻击容易导致用户的隐私泄露或直接财产损失。监管机构应加强对生活实用类App的监管,同时应用开发者安全意识不足,应采取有效措施如通过使用应用加固,防范应对网络攻击,保障系统的平稳、安全运行。
功能类型存在高危漏洞风险的应用占比排行
从区域划分来看,北京市存在高危漏洞风险的应用数量占全国总量的29.59%,位居第一;广东省存在漏洞风险的应用数量占全国总量的29.31%,位居第二;上海市存在漏洞风险的应用数量占全国总量的6.55%,位居第三。区域划分对比去年,湖南省排名从第八名上升到了第四名,北上广依然稳居前三。
区域存在高危漏洞风险的应用占比排行
截止到2021年3月,针对全国各区域下载量靠前的应用进行了个人信息合规性检测。从区域来看,山东省 App违规应用位居第一,占该违规行为总量的4.26%;其次是上海市,占该违规行为总量的4.19%;北京市位列第三,占该违规行为总量的4.14%。
个人信息检测违规应用行业分布
从功能类型分类来看,存在个人信息违规性问题的应用生活实用类占检测总量的19.04%,位居第一;其次是办公学习类占检测总量的11.59%,位居第二;金融理财类占检测总量的10.08%,位居第三。生活实用类的App受众面广,且应用数量较多,超过七成以上的生活实用类应用存在“用户明确表示不同意仍收集个人信息”的违规性问题,容易造成大量用户的个人信息泄露,该应用类型后期可作为重点监测目标对象。
个人信息检测违规应用功能类型分布
截止到2021年3月,针对全国各区域下载量靠前的应用进行了个人信息合规性检测,其中,71.31%的应用存在“用户明确表示不同意仍收集个人信息”的违规情况。该违规行为可能存在强制收集用户个人信息。作为应用的责任主体,应自我做到遵纪守法;而用户应该加强自己的隐私保护意识,如果遇上“流氓”App应提高防护意识,注重个人的隐私。详见下图:
个人信息违规类型分布
1.存在境外传输的应用功能分类情况
据个人信息合规性检测结果显示,4.47%的移动App存在“将数据传输至境外服务器”的违规情况,该违规行为是指在将用户的信息等相关数据传输到境外的某一个服务器上,可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全。从功能分类来看,生活实用类占该违规行为总量的17.57%,位居第一;其次是游戏类,占该违规行为总量的16.33%。详情如下:
境外传输的应用功能分类Top10排行
2.存在明文传输的应用区域分布情况
从区域来看,浙江省App违规应用位居第一,占该违规行为总量的6.86%;其次是上海市,占该违规行为总量的6.15%;广东省位列第三,占该违规行为总量的5.65%。用户的个人信息在信息传输过程中造成个人信息泄漏,建议有关机构督促开发者针对“传输”做到加密处理。
明文传输的应用区域分布情况
全国应用平均集成SDK个数为8.9个,应用平均集成SDK数量排名前列的区域分别是:重庆市,山西省,江西省。以下是各区域应用平均集成SDK个数排行情况:详见下图:
各区域平均集成SDK
截止到2021年3月,从应用嵌入第三方SDK的类型来看,嵌入了框架类SDK的App数量最多,占比为44.99%,其次是工具类SDK,占比为14.73%;位列第三的是音视频类SDK,占比为9.40%。详情如下:
各类SDK分布情况
截止到2021年3月,对应用、更新版本的应用、以及存量应用的加固情况进行统计,全国总计加固应用487832款,占14.67%,未加固应用占总量的85.33%。随着移动端黑产的日益壮大,App如果不进行安全加固会无法确保应用安全,无法防止被破解、二次打包、恶意篡改等,安全加固是维护App安全的重要防护手段。
加固应用和未加固应用分布
通过对全国未加固应用功能类型进行统计发现,游戏类应用的App未加固率最高,占未加固应用的22.35%,其次是生活实用类App,占未加固应用的6.52%,排名第三的是系统工具类App,占未加固应用的3.82%。详见下图:
未加固应用功能类型分布