全国移动App第二季度安全研究报告 - 安全客,安全资讯平台

robots

 

近日,移动互联网系统与应用安全国家工程实验室(以下简称:国家工程实验室)、中国信息通信研究院安全研究所(以下简称:信通院)、北京智游网安科技有限公司(爱加密)三方联合发布了《全国移动App第二季度安全研究报告》。

本次报告内容包括全国移动App概况、移动App功能分布、金融类App分布情况、本季度增量情况、移动App个人信息安全概况、第二季度移动App安全风险监测评估。爱加密已连续与国家工程实验室、信通院合作多年,并多次联合发布全国移动App安全研究报告,为行业用户了解本行业 App 安全提供了参考,也为个人用户开启了一扇了解当下App 安全热点的窗户。

一、全国移动App概况

根据中国信息通信研究院安全研究所和移动互联网系统与应用安全国家工程实验室(以下简称国家工程实验室)以及北京智游网安科技有限公司(爱加密)移动应用大数据平台提供的数据,截止6月底大数据平台共计收录Android移动App 338万款,其中70%以上存在高危漏洞威胁;23.86%的App嵌入框架类的SDK。

(一)应用宝移动App数量占总量的21.40%

截止到本季度纳入监测的应用渠道数量总计约900个,其中应用数量排名前三列的分别是:应用宝,共计应用724073款,占渠道总应用数量的21.40%;360市场,共计616302款,占总应用数量的18.21%;豌豆荚,共计523164款,占总应用数量的15.46%。以下是各渠道应用排行前十的情况:

各渠道应用排行TOP10

数据来源:爱加密移动应用大数据平台

(二)高危漏洞呈逐渐增长趋势

本次主要对10类94项风险漏洞进行监测分析,发现70%以上的App存在漏洞风险。约243万款Android最新版本应用包通过移动应用安全平台进行风险监测,其中,有高危漏洞的App约177万款,占监测应用总数的73.05%。本季度排名前三的漏洞分别是:Janus漏洞、截屏攻击风险、模拟器运行风险。详见下图:

存在漏洞的App数量统计图

数据来源:爱加密移动应用大数据平台

(三)第三方SDK应用广泛,数据安全存在隐患

第三方SDK通常是造成用户个人信息在网上“裸奔”的罪魁祸首。监测发现截止6月底,共计1366601款App嵌入框架类的SDK,占比23.86%;1261475款App嵌入工具类的SDK,占比22.02%;482967款App嵌入推送类的SDK,占比8.43%,详见下图:

不同类型SDK对应的App分布情况

数据来源:爱加密移动应用大数据平台

(四)各省份移动App加固情况相近

从加固App区域分布来看,北京、广东省App供应商安全意识较强,加固数量最多。

加固App省份Top10

数据来源:爱加密移动应用大数据平台

经统计,安全加固排名前三列的分别是:北京市加固App占总量的24.4%,共计78279款;广东省市占总量的24.0%,共计77034款;上海市占总量的6.9%,共计22179款,以下是前十占比情况:

加固App数量省份占比前十分布

数据来源:爱加密移动应用大数据平台

北京以24.4%的市场份额成为汇聚加固App数量最多的省份,而青海、澳门、西藏等省份加固App数量较少。详情如下:

加固App数量较少的省份分布情况

数据来源:爱加密移动应用大数据平台

二、移动App功能分布

(一)游戏类App稳居市场总应用的首位

从全国移动App功能应用细分领域来看,游戏类App的数量占据首位,占市场应用的42.6%,共计934753款;生活实用类的App占市场应用的12.3%,共计269268款;系统工具类的App占市场应用的7.2%,共计156857款。不同细分领域App占比如下所示:

不同细分领域AppTop10数量及占比

数据来源:爱加密移动应用大数据平台

(二)其他功能App分布情况

排名第4到第10的行业分别是办公学习、资讯阅读、金融理财、拍摄美化,总和未超过50%。其中:办公学习类App共计143318款,占比6.5%;资讯阅读类App共计125997款,占比5.7%;金融理财类App共计97573款,占比4.4%。详情见下图:

其他功能App数量分布

数据来源:爱加密移动应用大数据平台

 

三、金融类App分布概况

(一) 超三成金融类App分布在华东地区

金融类App遍布全国各地,有97762款可以根据区域划分规则明确归属地,以下区域分布仅基于这97762款做分析。从大区来看,华东地区App数量位居第一,占App总量的36.62%;其次是华南地区,占总量的31.47%;华北地区位列第三,占总量的16.81%。详见下图:

App大区分布图

数据来源:爱加密移动应用大数据平台

(二) 广东省金融类App数量居全国第一

从省级区域来看,广东省金融类App数量占全国总量的25.24%,位居第一;北京市金融类App数量占全国总量的14.74%,位居第二;上海市占全国总量的10.89%,位居第三。以下是排名TOP10的情况:

应用数量占比TOP10

数据来源:爱加密移动应用大数据平台

四、本季度增量情况

(一) Android应用数量5月份环比倍数增长

本季度新增Android应用数量共计85857个,从月度上看,本季度Android应用数量增速5月份环比增长最快,环比增加59.82%,但6月新增应用共计32512款,环比下降24.17%。详见图8:

月度环比增速图

数据来源:爱加密移动应用大数据平台

从应用行业上看,教育类仍是新增移动App的主要类别,占新增应用40.37%;金融类新增数量位列第二,占新增应用26.21%;政企类新增数量位列第三,占新增应用的15.31%;详见下图:

新增移动App行业Top10分布图

数据来源:爱加密移动应用大数据平台

(二) 应用监测渠道增量情况

1.应用监测渠道4月增长较快

本季度应用监测新增渠道趋势较为平缓,新增应用渠道共计31个,4月份新增12个渠道,6月份新增10个渠道。详见下图:

新增渠道情况

数据来源:爱加密移动应用大数据平台

2.新增渠道中,服务器在广东、湖北、上海的最多

从新增渠道分布区域上看,服务器在广东、湖北、上海的渠道增量最多,占新增渠道12.90%。详见下图:

新增渠道所属区域

数据来源:爱加密移动应用大数据平台

五、移动App个人信息安全概况

(一)个人信息检测违规类型分布情况

2021年6月,针对全国移动App进行了个人信息合规性抽样检测,其中,85.91%的应用存在“违规收集个人信息”的违规情况;83.99%的应用存在“超范围收集个人信息”的违规情况;28.94%的应用存在“App强制、频繁、过度索取权限”的违规情况。综合上述,建议监管机构督促企业加强个人信息相关的法律法规宣传,加强对App的开发企业、运营企业的通报处罚力度。作为责任主体,相关企业应做到遵纪守法,按照相关政策标准的要求自查自纠。用户应提高隐私保护意识,提防“流氓”App,注重个人的隐私。个人信息违规类型分布详见下图:

个人信息违规类型分布

数据来源:爱加密移动应用大数据平台

(二)个人信息检测违规移动App功能类型分布

从功能类型来看,存在个人信息违规问题最多的是办公学习类App,占检测总量的15.53%;其次是生活实用类App,占检测总量的10.17%;金融理财类App占检测总量的5.75%,位居第三。详见下图:

个人信息检测违规App功能类型分布

数据来源:爱加密移动应用大数据平台

(三)移动App个人信息安全案例分析

1.越权设置密码

(1)新用户注册后,使用验证码登录App,在“我的-设置”功能中可进行密码修改。

(2)密码修改请求仅通过user_id区分用户。

(3)使用首次登录过程中抓取的一个不需要原密码检验的密码设置接口,此接口可以直接输入其他用户的手机号+自己设置的密码使密码修改生效,此时修改密码不需要校验原密码或者短信验证码。

结果分析:App应使用安全的会话管理机制,在进行修改密码等敏感操作时严格校验用户的身份,避免出现示例中的越权修改用户敏感信息情况。

2.数据明文传输

对App请求与相应数据包进行抓取分析后发现,某App交互数据包均未进行加密处理,且返回数据内可见明文电话号码、token等信息。

结果分析:App应对涉及个人敏感信息、重要数据等的数据包加密处理,,并对关键加密算法所在的so库进行加壳、混淆等防护,保护App数据传输及加解密机制安全。

六、第二季度移动App安全风险监测评估

(一)App带来便利的同时也隐藏着‘小心机’

在5G移动通信、大数据、物联网、人工智能等技术的推动下,我国移动互联网产业正呈现垂直化、专业化和平台化趋势,对推动实体经济转型、促进经济社会发展起到了基础性的支撑作用。人们在使用App的时候,一边享受它带来的便利的同时,一边也深受“弹窗”的困扰,很多的广告都以弹窗的形式出现在用户的视野中,且关闭的按钮设置小;有些弹窗也存在用瞒天过海的把戏诱导用户点击。相关部门发现此问题出现的频率逐渐增高,针对该违规行为进行了监督,并督促企业完成整改,解决掉在信息页面中存在利用弹窗诱导、欺骗用户跳转其他页面的问题,为广大群众创建一个绿色的健康网络环境。

(二)网络安全离不开安全技术和产业的支撑

没有网络安全就没有国家安全,严重影响经济社会稳定运行,广大人民群众利益也难以得到保障。当前,各种形式的网络攻击、黑客入侵、恶意代码、安全漏洞层出不穷,对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁。网络安全的本质是技术对抗,保障网络安全离不开网络安全技术和产业的有力支撑。

中国信息通信研究院安全研究所

移动互联网系统与应用安全国家工程实验室

北京智游网安科技有限公司

2021年07月22日

本文来源于: https://www.anquanke.com/post/id/248544

相关推荐

PHP :: Bug #81298 :: mb_detect_encoding() segfaults when 7bit encoding is specified

Bug #81298 mb_detect_encoding() segfaults when 7bit encoding is specified Submitted: 2021-07-26 09:13 UTC Modified: 2021

从今年强网杯的一道学习vm - 安全客,安全资讯平台

robots 概述 vm的题目在CTF的比赛中是一种很常见的题型,一般的做法都是找到其指令执行过程中自定义的指令的解释程序的一些漏洞(如溢出,offset_by_null等)在理解每条指令意义的前提下通过构造一个程序来触发漏洞实现提权。而今

关于JDK7u21 Gadgets两个问题的探讨 - 安全客,安全资讯平台

robots 最近在分析JDK7u21的Gadgets,有两个不解之处,阅读前辈们的文章发 现并未提起: 1.为什么有的POC入口是LinkedHashSet,有的是HashSet,两个都可以触发吗? 2.关于map.put("f5a5a6

fail2ban - Remote Code Execution - research.securitum.com

This article is about the recently published security advisory for a pretty popular software – fail2ban (CVE-2021-32749)

赢 1000 元现金红包!助力奥运,猜金银牌数赢现金 - FreeBuf网络安全行业门户

第 32 届夏季奥林匹克运动会,2020 东京奥运会,已经于 2021 年 7 月 23 日在日本东京奥林匹克体育场开幕啦! 不知道大家有没有关注呢?二狗子可是准点守着电脑打开了直播的!虽然东京奥运会简直是一波三折,先是因为疫情被迫延期了一

迷你世界勒索病毒,你的文件被删了吗? - FreeBuf网络安全行业门户

前言 近日,笔者在某恶意软件沙箱平台分析样本的时候,发现了一款比较有意思的勒索病毒MiniWorld迷你世界勒索病毒,它的解密界面与此前的WannaCry勒索病毒的界面相似,应该是作者仿冒的WannaCry的UI,如下所示: 这款勒索病毒既

内网隐藏通信隧道技术——FRP隧道 - FreeBuf网络安全行业门户

本文介绍有关FRP代理配置以及使用FRP建立一级代理、二级代理、三级代理 frp是一个专注于内网穿透的高性能的反向代理应用,支持TCP、UDP、HTTP、HTTPS等多种协议。可以将内网服务以安全、便捷的方式通过具有公网IP节点的中转暴露到

About the security content of macOS Big Sur 11.5.1 - Apple Support

Released July 26, 2021 IOMobileFrameBuffer Available for: macOS Big Sur Impact: An application may be able to execute ar

WebContent->EL1 LPE: OOBR in AppleCLCD / IOMobileFrameBuffer | IOMobileFrameBuffer_LPE_POC

IOMobileFrameBuffer_LPE_POC WebContent->EL1 LPE: OOBR in AppleCLCD / IOMobileFrameBuffer While reversing some of the acc

Shellcoding: Process Injection with Assembly

Conor Richard home.. Shellcoding: Process Injection with Assembly July 2021 Introduction It has been a long time since m