智能時(shí)代，移動(dòng)應(yīng)用已成為生活的“剛需”，但安全隱患卻如影隨形。中國電信安全公司聯(lián)合行業(yè)專業(yè)公司基于電信安全“隱私哨兵”產(chǎn)品能力發(fā)布《2024年全國移動(dòng)應(yīng)用安全觀測報(bào)告》，揭示惡意程序泛濫、數(shù)據(jù)跨境失控、隱私泄露成災(zāi)等安全問題。本報(bào)告基于476萬款A(yù)ndroid應(yīng)用、319萬款iOS應(yīng)用的監(jiān)測數(shù)據(jù)，直擊移動(dòng)應(yīng)用安全的“痛點(diǎn)”。無論你是普通用戶還是企業(yè)開發(fā)者，這些真相都值得關(guān)注！

1、應(yīng)用數(shù)量激增，安全漏洞卻成“標(biāo)配”

2024年，全國Android應(yīng)用總量達(dá)476萬款，iOS應(yīng)用319萬款，微信小程序和公眾號(hào)總量突破988萬。然而，76.2%的Android應(yīng)用存在高危漏洞，其中“Janus漏洞”“截屏攻擊風(fēng)險(xiǎn)”占比最高。更令人擔(dān)憂的是，下載量越小的應(yīng)用（如“千”“萬”級(jí)），高危漏洞比例反而更高（72%）。

圖1 全國總量綜合情況

圖2 各下載量級(jí)別應(yīng)用不同風(fēng)險(xiǎn)等級(jí)漏洞的應(yīng)用占比

用戶警示：下載小眾應(yīng)用需謹(jǐn)慎，優(yōu)先選擇官方渠道！

2、隱私泄露成“重災(zāi)區(qū)”，超1/4應(yīng)用在違規(guī)

檢測發(fā)現(xiàn)，23.5%的應(yīng)用存在“違規(guī)收集個(gè)人信息”，7.9%的應(yīng)用“超范圍收集”。更隱蔽的是，62.4%的應(yīng)用會(huì)監(jiān)聽通話狀態(tài)，28.4%的應(yīng)用會(huì)后臺(tái)追蹤定位。值得注意的是，頭部應(yīng)用（下載量“上億”級(jí)）違規(guī)收集個(gè)人信息的比例高達(dá)49.7%，遠(yuǎn)超中小應(yīng)用。

圖3 Android應(yīng)用違規(guī)類型分布

圖4 Android應(yīng)用敏感行為類型

用戶行動(dòng)指南：安裝應(yīng)用時(shí)，務(wù)必關(guān)閉非必要權(quán)限！

3、數(shù)據(jù)跨境“暗流涌動(dòng)”，美國成最大接收地

12.4%的應(yīng)用存在數(shù)據(jù)跨境傳輸行為，56.2%的數(shù)據(jù)流向美國，其次是中國香港（10%）和新加坡（6%）。游戲類應(yīng)用是“重災(zāi)區(qū)”，35.4%的游戲存在跨境傳輸行為，部分SDK甚至每30秒讀取一次用戶位置信息。

圖5 Android應(yīng)用數(shù)據(jù)跨境傳輸目的地TOP10

企業(yè)警示：跨境傳輸需通過安全評估，違規(guī)或面臨重罰！

4、惡意程序泛濫，游戲應(yīng)用成“毒瘤”

全國累計(jì)發(fā)現(xiàn)29萬款含惡意程序的應(yīng)用，其中50%為游戲類應(yīng)用。這些程序通過彈窗廣告、偷渡下載等方式植入設(shè)備，輕則竊取隱私，重則盜刷資金。流量渠道中，38.8%的應(yīng)用未上架正規(guī)商店，涉黃、涉賭問題突出（涉黃應(yīng)用961款，涉賭應(yīng)用495款）。

圖6 惡意應(yīng)用功能類型分布TOP10

用戶忠告：遠(yuǎn)離非官方渠道，警惕“免費(fèi)游戲”陷阱！

5、境外SDK“偷數(shù)據(jù)”，谷歌、臉書最常用

國內(nèi)應(yīng)用中，12.4萬款嵌入了境外SDK，其中Google Play Services SDK占比超40%。47%的嵌入境外SDK應(yīng)用存在隱私違規(guī)，6.7%的違規(guī)由SDK直接引發(fā)。部部分SDK在后臺(tái)靜默收集通訊錄、短信等高敏感信息，甚至竊取照片類隱私數(shù)據(jù)，導(dǎo)致用戶完全無法察覺。

圖7 嵌入境外SDK的應(yīng)用嵌入量top10

圖8 嵌入境外SDK應(yīng)用個(gè)人信息自動(dòng)化檢測違規(guī)情況

開發(fā)者建議：選擇合規(guī)SDK，明示用戶數(shù)據(jù)用途！

6、安全防護(hù)“裸奔”，超8成應(yīng)用無加固

2024年新上架應(yīng)用中，82.4%未采取任何安全保護(hù)措施，游戲類應(yīng)用更是高達(dá)94.4%。未加固應(yīng)用極易被反編譯、篡改，導(dǎo)致用戶數(shù)據(jù)泄露。此外，流量渠道中90.5%的應(yīng)用存在高危漏洞，風(fēng)險(xiǎn)指數(shù)爆表。

圖9 2024年新更新、新上架的應(yīng)用未采取技術(shù)安全保護(hù)措施占比

圖10 未采取技術(shù)安全保護(hù)措施應(yīng)用功能類型分布TOP10

行業(yè)呼吁：開發(fā)者需加強(qiáng)技術(shù)防護(hù)，用戶應(yīng)定期更新應(yīng)用！

你的手機(jī)安全嗎？

移動(dòng)應(yīng)用的便利性與安全性如同一枚硬幣的兩面。用戶需提高警惕，開發(fā)者應(yīng)嚴(yán)守合規(guī)，監(jiān)管機(jī)構(gòu)則需持續(xù)完善法規(guī)。只有三方合力，才能構(gòu)建真正的“安全生態(tài)”。