梆梆安全发布《2025 年 Q3 移动应用安全风险报告》。本报告基于梆梆安全移动应用监管平台在 2025 年第三季度的威胁监测数据与深度安全分析成果，系统梳理当前国内移动应用面临的新型攻击技术演进与安全趋势变化，聚焦盗版仿冒、境外数据传输、高危漏洞、个人隐私违规等多个维度，为移动应用安全建设工作提供参考与实践指引。

当前，我国互联网基础设施持续优化升级，数字经济与实体经济融合不断深入，移动互联网生态已逐步演进为支撑社会数字化转型的关键新型基础设施。根据 CNNIC 第 56 次统计报告显示，截至 2025 年 6 月，我国网民规模达 11.23 亿，互联网普及率达 79.7%，其中手机网民规模为 11.16 亿，占整体网民的 99.4%，进一步巩固了移动终端在数字接入生态中的核心地位。

在 " 人工智能 +" 行动计划的持续推动下，移动互联网发展正由 " 万物互联 " 向 " 万物智联 " 阶段加速演进。智能穿戴设备、智能家居与智能网联汽车等典型场景快速发展，手机应用程序作为智能生态的核心控制枢纽，与各类终端形成紧密协同。截至 2025 年 6 月，智能家居 APP 月活跃用户规模达 3.72 亿，智能网联汽车 APP 月活用户规模达 0.89 亿，智能家居与个人可穿戴设备的上网比例分别达 21.4% 与 28.6%，反映出智能终端在网络接入中的广泛渗透与场景融合。

随着移动应用服务场景不断深化，应用安全、数据安全与合规治理面临日益严峻的挑战。违规收集用户信息、非授权使用数据、隐私泄露等安全事件频发，凸显出在技术防护与体系化治理层面构建全方位风险防控机制的迫切性。

（文末可扫码下载查看报告原文）

01 国移动应用概况

根据梆梆安全移动应用监管平台对国内外 1000+ 活跃应用市场实时监测的数据显示，2025 年 7 月 1 日至 2025 年 9 月 30 日新发布的应用中，归属于全国的 Android 应用总量为 108,645 款，涉及开发者总量 33,109 家。

从 APP 的分布区域来看，广东省 APP 数量仍然位居第一，约占全国 APP 总量的 19.95%，位居第二、第三的区域分别是北京市和上海市，对应归属的 APP 数量是 17,548、10,950 个。具体分布如图 1 所示：

图 1 全国 APP 区域分布 TOP10

从 APP 的渠道分布来看，截止统计周期内，全国移动应用分发市场有 1,260 家，位居渠道排名前三的分别为VIVO应用商店、应用宝、搜狗市场。全国移动应用渠道分布如图 2 所示：

图 2 全国移动应用渠道分布 TOP10

从 APP 的功能和用途类型来看，实用工具类 APP 数量稳居首位，占全国 APP 总量的 20.25% ；教育学习类 APP 位居第二，占全国 APP 总量的 11.96%；商务办公类 APP 排名第三，占全国 APP 总量的 9.32%。各类型 APP 占比情况如图 3 所示：

图 3 全国 APP 类型分布 TOP10

02 全国移动应用安全分析概况

根据《2025 年 Q2 移动互联网行业数据研究报告》，当前人均移动应用安装量稳定在 75 款左右，日均移动设备使用时长在第二季度显著增长，已接近 6 小时，反映出移动应用对用户日常生活的深度渗透。整体来看，风险集中在数据违规收集、数据恶意滥用、数据非法获取、数据恶意散播。这些风险广泛存在于当前主流 APP 中，严重威胁数据安全与个人信息安全。

梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎，对全国 Android 应用进行抽样检测，风险应用从盗版（仿冒）、境外数据传输、高危漏洞、个人隐私违规4 个维度综合统计，风险应用数量如图 4 所示：

图 4 风险应用数量统计

01 漏洞风险分析

从全国 Android APP 中随机抽取 22,136 款进行漏洞检测，发现存在漏洞威胁的 APP 为 17,318 个，即 78.23% 以上的 APP 存在中高危漏洞风险。在这 17,318 款 APP 的漏洞中，高危漏洞占比 74.06%，中危漏洞占比 98.03%（同一 APP 可能存在多个等级漏洞）。

对不同类型的漏洞进行统计发现，多数安全漏洞可以通过应用加固方案解决，由此也反映出部分开发者与运营者重功能轻安全防护，安全意识薄弱。应用中高危漏洞数量排名前三的类型分别为 Java 代码反编译风险、HTTPS 未校验主机名漏洞、动态注册 Receiver 风险。各漏洞类型占比情况如图 5 所示：

图 5 漏洞类型占比 TOP10

从 APP 类型来看，实用工具类 APP 存在的漏洞风险最多，占漏洞 APP 总量的 20.77%；其次为教育学习类 APP，占比 12.27%；生活服务类 APP 位居第三，占比 8.89%，漏洞数量排名前 10 的 APP 类型如图 6 所示：

图 6 存在漏洞的 APP 类型 TOP10

02 盗版（仿冒）风险分析

盗版 APP 是指未经版权所有人同意或授权的情况下，利用非法手段在原 APP 中加入恶意代码，进行二次发布，造成用户信息泄露、手机感染病毒，或其他安全危害的 APP。

自 2005 年以来，为打击网络侵权盗版行为，国家版权局、工业和信息化部、公安部、国家互联网信息办公室四部门联合启动 " 剑网行动 "，该行动针对网络侵权盗版的热点难点问题，聚焦网络细分领域，查处了一批侵权盗版大案要案，有效打击和震慑了网络侵权盗版行为，营造了良好的网络版权秩序，保护了互联网企业版权合法权益。" 剑网 2025" 专项行动于 2025 年 5 月至 11 月开展，本次专项行动聚焦 6 个主要方面开展版权整治，包括：视听作品、动漫及游戏领域、计算机软件、网络存储 + 传播领域、网络销售、流媒体智能终端。

从全国的 Android APP 中随机抽取 159 款进行盗版（仿冒）引擎分析，检测出盗版（仿冒）APP 159 个，其中实用工具、新闻阅读、游戏娱乐类应用是山寨 APP 的重灾区，各类型占比情况如图 7 所示：

图 7 盗版（仿冒）APP 类型 TOP10

03 境外传输数据分析

当前，随着数字经济的深入发展和全球化进程的加速，数据跨境流动已成为企业运营不可或缺的环节。重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全与公共利益。因此数据出境合规管理，不仅是提高数字经济全球竞争力的基础，更是守护国家安全的保障。

国家互联网信息办公室会同相关部门持续完善数据出境安全管理体系，相继出台《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等核心法规，并建立个人信息保护认证制度，为数据处理者提供了多维度、全流程的合规指引。

从全国的 Android APP 中随机抽取 5,515 款 Android APP 进行境外数据传输引擎分析，发现其中 515 款应用存在往境外的 IP 传输数据的情况，从统计数据来看，发往澳大利亚的最多，占比 52.04%；其次是发往美国，占比 37.67%。无论是针对移动应用程序自身程序代码的数据外发行为，还是针对第三方 SDK 的境外数据外发行为，都建议监管部门加强对数据出境行为的监管。数据传输至境外国家占比排行情况如图 8 所示：

图 8 数据传输至境外国家占比 TOP10

从 APP 类型来看，实用工具类 APP 往境外 IP 传输数据的情况最多，占境外传输 APP 总量的 17.67%；其次为其他类 APP，占比 10.49%；生活服务类 APP 占比 9.51%，位列第三。各类型占比情况如图 9 所示：

图 9 境外传输数据 APP 各类型占比 TOP10

04 个人隐私违规分析

2025 年央视 "3 · 15" 晚会揭露了黑灰产业利用技术手段非法攫取个人隐私的乱象，包括披着合法外衣的 " 电子签高利贷陷阱 " 以及滥用 AI 技术骚扰用户的黑色产业链，个人信息安全面临严峻挑战。针对这些问题，国家监管机构高度重视。3 月 28 日，中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展 2025 年个人信息保护系列专项行动的公告》，深入治理 APP、智能终端、公共场所人脸识别等场景中违法违规收集使用个人信息的典型问题。

当前，APP 强制索权、违规收集使用个人信息等问题日益突出，暴露出企业在数据合规体系建设上的滞后。面对持续收紧的监管态势，企业须将 " 隐私合规 " 置于产品设计的核心。

基于《信息安全技术 个人信息安全规范》《APP 违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求，从全国 Android APP 中随机抽取 5,515 款进行合规引擎分析，检测出 76.72% 的 APP 涉及隐私违规现象，如：违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如图 10 所示：

图 10 个人隐私违规类型占比情况

从 APP 类型来看，实用工具类 APP 存在个人隐私违规问题最多，占检测总量的 17.77%，其中五成以上涉及频繁申请权限问题；教育学习类 APP 存在隐私违规问题占检测总量的 11.98%，位居第二；其他类 APP 存在隐私违规问题占检测总量的 9.88%，位居第三。涉及个人隐私违规 APP 各类型占比如图 11 所示：

图 11 个人隐私违规 APP 类型 TOP10

05 第三方 SDK 风险分析

第三方软件开发包（SDK）是由广告平台、数据服务商、社交网络及地图服务商等第三方提供的功能集成工具。为降低开发成本、提升功能实现效率，APP 开发与运营方普遍在应用程序中集成各类第三方 SDK，以快速实现相应服务。然而，一旦所集成的 SDK 存在安全漏洞，将可能引发供应链式安全风险，导致所有集成该 SDK 的应用程序面临被攻击的威胁。

从 APP 类型来看，实用工具类 APP 内置第三方 SDK 的数量最多，占比 20.61%；其次为教育学习类 APP，占比 12.84%；其他类 APP 位列第三，占比 8.48%。内置第三方 SDK 应用各类型 APP 占比如图 12 所示：

图 12 内置第三方 SDK 应用各类型 APP 占比 TOP10

06 应用加固现状分析

在移动应用深度渗透生产生活的今天，其安全性已直接关系到用户隐私与企业核心资产。然而，若一款 APP 未经任何安全加固措施便上线运营，其在黑客与黑灰产眼中无异于 " 裸奔 "，面临着如被逆向分析、反编译、二次打包、恶意篡改等诸多安全风险。因此，对 APP 进行专业的安全加固，通过代码混淆、加密、运行时保护等一系列技术，为应用穿上 " 铠甲 "。

从全国的 Android APP 中随机抽取 32,779 款进行加固引擎检测，检测出已加固的应用仅占应用总量的 38.9%。

从应用类型来看，APP 加固率排名前三的分别是金融理财、党政机关、新闻阅读类 APP。不同 APP 类型加固占比如图 13 所示：

图 13 不同 APP 类型加固占比

综合来看，报告揭示了当前移动生态中严峻的安全态势，超过 78% 的受测应用存在中高危漏洞，隐私违规应用占比高达 76.72%，反映出开发环节中安全防护与合规意识的普遍缺失。此外，盗版仿冒、数据跨境传输、第三方 SDK 引入的供应链风险等问题亦不容忽视，共同构成移动业务健康发展的多重挑战。

面对日益复杂的风险环境，仅依靠单点防御已难以应对系统化威胁，构建覆盖开发、运营、监管与用户侧的全链条治理体系势在必行。梆梆安全提示：企业需将安全与合规前置至产品设计阶段，强化代码防护与数据治理；用户也应提升安全意识，审慎授权、规范用网。

作为深耕移动安全领域多年的践行者，梆梆安全始终致力于为企业提供体系化、智能化的安全解决方案。面对 AI 技术重塑安全格局的新阶段，我们将进一步融合大数据分析、AI 赋能产品，打造更智能的应用防护、风险感知与响应体系，助力客户在复杂环境中筑牢安全防线，实现业务的可信数字化发展。

扫描下方二维码即可下载《2025 年 Q3 移动应用安全风险报告》完整版