嘶吼RoarTalk 04-10
《2025年Q1移动应用安全风险报告》披露 全国79.08%APP存在个人隐私违规现象
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

梆梆安全正式发布《2025 年 Q1 移动应用安全风险报告》。本报告基于梆梆安全移动应用监管平台在 2025 年第一季度的威胁监测数据与深度安全分析成果,系统梳理当前国内移动应用面临的新型攻击技术演进与安全趋势变化,聚焦盗版仿冒、境外数据传输、高危漏洞、个人隐私违规等多个维度,为移动应用安全建设工作提供有效建议和决策参考。(文末可扫码下载查看报告原文)

01 全国移动应用概况

根据梆梆安全移动应用监管平台对国内外 1000+ 活跃应用市场实时监测的数据显示,2025 年 1 月 1 日至 2025 年 3 月 31 日新发布的应用中,归属于全国的 Android 应用总量为 161,238 款,涉及开发者总量 55,114 家

从 APP 分布的区域来看,广东省 APP 数量位居第一,约占全国 APP 总量的 20.65%,位居第二、第三的区域分别是北京市和上海市,对应归属的 APP 数量是 25,766、15,856 个。具体分布如图 1 所示:

图 1   全国 APP 区域分布 TOP10

从 APP 的功能和用途类型来看,实用工具类APP 数量稳居首位,占全国 APP 总量的 19.08% ;教育学习类APP 位居第二,占全国 APP 总量的 12.88%;商务办公类APP 排名第三,占全国 APP 总量的 8.8%。各类型 APP 占比情况如图 2 所示:

图 2   全国 APP 类型分布 TOP10

02 全国移动应用安全分析概况

梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎,对全国 Android 应用进行抽样检测,风险应用从盗版(仿冒)、境外数据传输、高危漏洞、个人隐私违规4 个维度综合统计,风险应用数量如图 3 所示:

图 3   风险应用数量统计

01 漏洞风险分析

从全国 Android   APP 中随机抽取 59,202 款进行漏洞检测,发现存在漏洞威胁的 APP 为 46,393 个,即 78.36% 以上的 APP 存在中高危漏洞风险。在这 46,393 款 APP 漏洞中,高危漏洞占比 73.46%,中危漏洞占比 97.75%(同一 APP 可能存在多个等级漏洞)。

对不同类型的漏洞进行统计,大部分安全漏洞可以通过应用加固方案解决。应用漏洞数量排名前三的类型分别为 JAVA 代码反编译风险、HTTPS 未校验主机名漏洞,及动态注册 Receiver 风险。

从 APP 类型来看,实用工具类APP 存在的漏洞风险最多,占漏洞 APP 总量的 19%;其次为教育学习类APP,占比 12.53%;商务办公类APP 位居第三,占比 9.01%,漏洞数量排名前 10 的 APP 类型如图 4 所示:

图 4   存在漏洞的 APP 类型 TOP10

02 盗版(仿冒)风险分析

盗版 APP 指未经版权所有人同意或授权的情况下,利用非法手段在原 APP 中加入恶意代码,进行二次发布,造成用户信息泄露、手机感染病毒,或其他安全危害的 APP。从全国的 Android APP 中随机抽取 550 款进行盗版(仿冒)引擎分析,检测出盗版(仿冒)APP 550 个,其中实用工具、新闻阅读、影音视听类应用是山寨 APP 的重灾区,各类型占比情况如图 5 所示:

图 5   盗版(仿冒)APP 类型 TOP10

03 境外传输数据分析

2024 年 3 月 22 日,中央网络安全和信息化委员会办公室正式发布《促进和规范数据跨境流动规定》,同时发布《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》以指导企业落实数据出境合规义务,充分体现我国通过加强数据跨境监管,维护国家安全的监管思路。

从全国的 Android   APP 中随机抽取 22,935 款 Android   APP 进行境外数据传输引擎分析,发现其中2,621款应用存在往境外的 IP 传输数据的情况,从统计数据来看,发往澳大利亚的最多,占比56.31%;其次是发往美国,占比37.66%。无论是针对移动应用程序自身程序代码的数据外发行为,还是针对第三方 SDK 的境外数据外发行为,都建议监管部门加强对数据出境行为的监管。数据传输至境外国家占比排行情况如图 6 所示:

图 6   数据传输至境外国家占比 TOP10

从 APP 类型来看,实用工具类 APP 往境外 IP 传输数据的情况最多,占境外传输 APP 总量的 18.73%;其次为其他类 APP,占比 15.26%;教育学习类 APP 占境外传输数据 APP 总量的 8.74%,位列第三。各类型占比情况如图 7 所示:

图 7   境外传输数据 APP 各类型占比 TOP10

04 个人隐私违规分析

作为联网才能正常工作的移动应用,采集网络权限、系统权限以及 WiFi 权限是比较正常的,但移动应用是否应该采集用户短信、电话以及位置等 " 危险权限 ",需要根据应用本身的合法业务需求进行分析  

基于国家《信息安全技术 个人信息安全规范》《APP 违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求,从全国 Android APP 中随机抽取 22,935 款进行合规引擎分析,检测出79.08% 的 APP 涉及隐私违规现象,如违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如图 8 所示

图 8   个人隐私违规类型占比情况

从 APP 类型来看,实用工具类 APP存在个人隐私违规问题最多,占检测总量的 16.05%;其他类APP 存在隐私违规问题占检测总量的 14.04%,位居第二;教育学习类APP 存在隐私违规问题占检测总量的 11.32%,位居第三。涉及个人隐私违规 APP 各类型占比如图 9 所示:

图 9   个人隐私违规 APP 类型 TOP10

05 第三方 SDK 风险分析

第三方 SDK 是由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包,APP 开发者、运营者出于开发成本、运行效率考量,普遍在 APP 开发设计过程中使用第三方软件开发包(SDK)简化开发流程。从全国的 Android APP 中随机抽取 62,995 款进行第三方 SDK 引擎分析,检测出 95.56% 的应用内置了第三方 SDK。如果 SDK 有安全漏洞,可能导致包含该 SDK 的应用程序受到攻击

从 APP 类型来看,实用工具类APP 内置第三方 SDK 的数量最多,占比 18.54%;其次为教育学习类APP,占比 12.97%;商务办公类APP 位列第三,占比 8.8%。内置第三方 SDK 应用各类型 APP 占比如图 10 所示:

图 10 内置第三方 SDK 应用各类型 APP 占比 TOP10

06 应用加固现状分析

随着移动 APP 渗透到人们生活的方方面面,黑灰产业也随之壮大,应用若没有防护,则无异于 " 裸奔 ",对 APP 进行安全加固可有效防止其被逆向分析、反编译、二次打包、恶意篡改等。从全国的 Android APP 中随机抽取 99,808 款进行加固引擎检测,检测出已加固的应用仅占应用总量的 37.42%

从应用类型来看,APP 加固率排名前三的分别是金融、政务、阅读类 APP。不同 APP 类型加固占比如图 11 所示:

图 11   不同 APP 类型加固占比

扫描下方二维码即可下载

《2025 年 Q1 移动应用安全风险报告》完整版

据 CNNIC 第 55 次统计报告显示,截至 2024 年 12 月,我国网民规模突破 11 亿大关,其中移动端用户占比高达 99.7%,形成以 11.05 亿手机用户为核心的超级数字生态。值得注意的是,使用智能网联汽车、智能家居及个人可穿戴设备上网的比例也在同步提升,其中,车联网终端用户突破 1.19 亿。昭示着万物智联时代正在加速到来。

数字技术驱动产业变革之际,移动应用作为商业价值的关键载体,在承载用户生产数据与商业资产的同时,面临严峻安全挑战。黑灰产攻击已形成针对应用漏洞的定向突破机制,导致用户隐私泄露、企业核心资产遭恶意利用等系统性风险。

在此趋势背景下,梆梆安全深耕移动应用与物联网安全领域,依托自主研发构建覆盖 " 防护 - 检测 - 监测 - 响应 " 的全链路防御体系,通过智能威胁感知与动态防护技术,帮助行业用户有效应对各业务场景中面临的安全挑战。未来,公司将持续探索安全能力与数字基建的深度融合,为推动网络安全新质生产力贡献力量。

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

一起剪

一起剪

ZAKER旗下免费视频剪辑工具

相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论