據(jù) CNNIC 第 55 次統(tǒng)計報告顯示,截至 2024 年 12 月,我國網(wǎng)民規(guī)模突破 11 億大關(guān),其中移動端用戶占比高達 99.7%,形成以 11.05 億手機用戶為核心的超級數(shù)字生態(tài)。值得注意的是,使用智能網(wǎng)聯(lián)汽車、智能家居及個人可穿戴設(shè)備上網(wǎng)的比例也在同步提升,其中,車聯(lián)網(wǎng)終端用戶突破 1.19 億,萬物智聯(lián)時代正在加速到來。
數(shù)字技術(shù)驅(qū)動產(chǎn)業(yè)變革之際,移動應(yīng)用作為商業(yè)價值的關(guān)鍵載體,在承載用戶生產(chǎn)數(shù)據(jù)與商業(yè)資產(chǎn)的同時,面臨嚴峻安全挑戰(zhàn)。黑灰產(chǎn)攻擊已形成針對應(yīng)用漏洞的定向突破機制,導(dǎo)致用戶隱私泄露、企業(yè)核心資產(chǎn)遭惡意利用等系統(tǒng)性風(fēng)險。(文末可掃碼下載查看報告原文)
01 全國移動應(yīng)用概況
根據(jù)梆梆安全移動應(yīng)用監(jiān)管平臺對國內(nèi)外 1000+ 活躍應(yīng)用市場實時監(jiān)測的數(shù)據(jù)顯示,2025 年 4 月 1 日至 2025 年 6 月 30 日新發(fā)布的應(yīng)用中,歸屬于全國的 Android 應(yīng)用總量為 141,868 款,涉及開發(fā)者總量 44,104 家。
從 APP 的分布區(qū)域來看,廣東省 APP 數(shù)量仍然位居第一,約占全國 APP 總量的 20.24%,位居第二、第三的區(qū)域分別是北京市和上海市,對應(yīng)歸屬的 APP 數(shù)量是 22,052、13,794 個。具體分布如圖 1 所示:
從 APP 的渠道分布來看,截止統(tǒng)計周期內(nèi),全國移動應(yīng)用分發(fā)市場有 1,305 家,位居渠道排名前三的分別為VIVO 應(yīng)用商店、應(yīng)用寶、0714 資源網(wǎng)。全國移動應(yīng)用渠道分布如圖 2 所示:
從 APP 的功能和用途類型來看,實用工具類APP 數(shù)量穩(wěn)居首位,占全國 APP 總量的 20.74% ;教育學(xué)習(xí)類APP 位居第二,占全國 APP 總量的 11.37%;商務(wù)辦公類APP 排名第三,占全國 APP 總量的 8.46%。各類型 APP 占比情況如圖 3 所示:
02 全國移動應(yīng)用安全分析概況
據(jù)《2025 年 Q1 移動互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)研究報告》顯示,移動互聯(lián)網(wǎng)人均每日使用時長為 5.52 小時,人均 APP 安裝數(shù)量穩(wěn)定在 75 款左右,APP 已對居民日常生活實現(xiàn)了充分覆蓋。在 AI 賦能之下,大量新產(chǎn)品、新賽道持續(xù)涌現(xiàn),移動互聯(lián)網(wǎng)市場活力尚存。與此同時,移動應(yīng)用的安全隱患日益凸顯。整體來看,風(fēng)險集中在數(shù)據(jù)違規(guī)收集、數(shù)據(jù)惡意濫用、數(shù)據(jù)非法獲取、數(shù)據(jù)惡意散播。這些風(fēng)險廣泛存在于當前主流 APP 中,嚴重威脅數(shù)據(jù)安全與個人信息安全。
梆梆安全移動應(yīng)用監(jiān)管平臺通過調(diào)用不同類型的自動化檢測引擎,對全國 Android 應(yīng)用進行抽樣檢測,風(fēng)險應(yīng)用從盜版(仿冒)、境外數(shù)據(jù)傳輸、高危漏洞、個人隱私違規(guī)4 個維度綜合統(tǒng)計,風(fēng)險應(yīng)用數(shù)量如圖 4 所示:
01 漏洞風(fēng)險分析
從全國 Android APP 中隨機抽取 30,339 款進行漏洞檢測,發(fā)現(xiàn)存在漏洞威脅的 APP 為 23,907 個,即 78.8% 以上的 APP 存在中高危漏洞風(fēng)險。在這 23,907 款 APP 漏洞中,高危漏洞占比 74.77%,中危漏洞占比 97.65%(同一 APP 可能存在多個等級漏洞)。
對不同類型的漏洞進行統(tǒng)計,多數(shù)安全漏洞可以通過應(yīng)用加固方案解決,由此也反映出部分開發(fā)者與運營者重功能輕安全防護,安全意識薄弱。應(yīng)用漏洞數(shù)量排名前三的類型分別為Java 代碼反編譯風(fēng)險、HTTPS 未校驗主機名漏洞,動態(tài)注冊 Receiver 風(fēng)險。各漏洞類型占比情況如圖 5 所示:
從 APP 類型來看,實用工具類APP 存在的漏洞風(fēng)險最多,占漏洞 APP 總量的 20.9%;其次為教育學(xué)習(xí)類APP,占比 11.37%;生活服務(wù)類APP 位居第三,占比 8.52%,漏洞數(shù)量排名前 10 的 APP 類型如圖 6 所示:
02 盜版(仿冒)風(fēng)險分析
" 劍網(wǎng)行動 " 是由國家版權(quán)局、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室四部門聯(lián)合打擊網(wǎng)絡(luò)侵權(quán)盜版的專項行動。自 2005 年啟動以來,該行動針對網(wǎng)絡(luò)侵權(quán)盜版的熱點難點問題,聚焦網(wǎng)絡(luò)細分領(lǐng)域,查處了一批侵權(quán)盜版大案要案,有效打擊和震懾了網(wǎng)絡(luò)侵權(quán)盜版行為,營造了良好的網(wǎng)絡(luò)版權(quán)秩序,保護了互聯(lián)網(wǎng)企業(yè)版權(quán)合法權(quán)益。" 劍網(wǎng) 2025" 專項行動于 2025 年 5 月至 11 月開展,這是全國持續(xù)開展的第 21 次打擊網(wǎng)絡(luò)侵權(quán)盜版專項行動。本次專項行動聚焦 6 個主要方面開展版權(quán)整治,包括:視聽作品、動漫及游戲領(lǐng)域、計算機軟件、網(wǎng)絡(luò)存儲 + 傳播領(lǐng)域、網(wǎng)絡(luò)銷售、流媒體智能終端。
盜版 APP 是指未經(jīng)版權(quán)所有人同意或授權(quán)的情況下,利用非法手段在原 APP 中加入惡意代碼,進行二次發(fā)布,造成用戶信息泄露、手機感染病毒,或其他安全危害的 APP。從全國的 Android APP 中隨機抽取 371 款進行盜版(仿冒)引擎分析,檢測出盜版(仿冒)APP 371 個,其中實用工具、新聞閱讀、游戲娛樂類應(yīng)用是山寨 APP 的重災(zāi)區(qū),各類型占比情況如圖 7 所示:
03 境外傳輸數(shù)據(jù)分析
保證數(shù)據(jù)出境安全,不僅是提高數(shù)字經(jīng)濟全球競爭力的基礎(chǔ),更是守護國家安全的保障。國家互聯(lián)網(wǎng)信息辦公室先后出臺實施《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》,發(fā)布《關(guān)于實施個人信息保護認證的公告》及配套認證規(guī)則,明確數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證等制度的實施路徑,依法有序開展數(shù)據(jù)出境安全管理工作。
從全國的 Android APP 中隨機抽取 8,924 款 Android APP 進行境外數(shù)據(jù)傳輸引擎分析,發(fā)現(xiàn)其中1,109款應(yīng)用存在往境外的 IP 傳輸數(shù)據(jù)的情況,從統(tǒng)計數(shù)據(jù)來看,發(fā)往澳大利亞的最多,占比53.92%;其次是發(fā)往美國,占比36.43%。無論是針對移動應(yīng)用程序自身程序代碼的數(shù)據(jù)外發(fā)行為,還是針對第三方 SDK 的境外數(shù)據(jù)外發(fā)行為,都建議監(jiān)管部門加強對數(shù)據(jù)出境行為的監(jiān)管。數(shù)據(jù)傳輸至境外國家占比排行情況如圖 8 所示:
從 APP 類型來看,實用工具類APP 往境外 IP 傳輸數(shù)據(jù)的情況最多,占境外傳輸 APP 總量的 19.21%;其次為其他類 APP,占比 13.26%;影音視聽類 APP占比 8.75%,位列第三。各類型占比情況如圖 9 所示:
04 個人隱私違規(guī)分析
2025 年央視 3 · 15 晚會聚焦技術(shù)偽裝下的隱私掠奪亂象:偽合法電子簽合同、AI 騷擾產(chǎn)業(yè)鏈等新型侵權(quán)手段浮出水面。借貸寶、人人信等平臺以協(xié)議為名行虛增債務(wù)、偽造身份之實;部分企業(yè)濫用爬蟲技術(shù)抓取短視頻平臺用戶手機號、社交賬號,甚至通過三網(wǎng)數(shù)據(jù)建立超 3800 項用戶畫像標簽。當前 APP 強制索權(quán)、違規(guī)收集信息已成頑疾,用戶隱私主權(quán)在網(wǎng)絡(luò)空間持續(xù)失守,亟待系統(tǒng)性治理。
基于《信息安全技術(shù) 個人信息安全規(guī)范》《APP 違法違規(guī)收集使用個人信息行為認定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》等相關(guān)要求,從全國 Android APP 中隨機抽取 8,924 款進行合規(guī)引擎分析,檢測出72.27% 的 APP 涉及隱私違規(guī)現(xiàn)象,如:違規(guī)收集個人信息、超范圍收集個人信息、強制用戶使用定向推送功能等。各違規(guī)類型占比情況如圖 10 所示:
從 APP 類型來看,實用工具類APP 存在個人隱私違規(guī)問題最多,占檢測總量的 16.76%,其中五成以上涉及頻繁申請權(quán)限問題;其他類APP 存在隱私違規(guī)問題占檢測總量的 14.67%,位居第二;教育學(xué)習(xí)類APP 存在隱私違規(guī)問題占檢測總量的 9.66%,位居第三。涉及個人隱私違規(guī) APP 各類型占比如圖 11 所示:
05 第三方 SDK 風(fēng)險分析
第三方 SDK 是由廣告平臺、數(shù)據(jù)提供商、社交網(wǎng)絡(luò)和地圖服務(wù)提供商等三方服務(wù)公司開發(fā)的工具包,APP 開發(fā)者、運營者出于開發(fā)成本、運行效率考量,普遍在 APP 開發(fā)設(shè)計過程中使用第三方軟件開發(fā)包(SDK)簡化開發(fā)流程。從全國的 Android APP 中隨機抽取 31,319 款進行第三方 SDK 引擎分析,檢測出95.56% 的應(yīng)用內(nèi)置了第三方 SDK。如果 SDK 有安全漏洞,可能導(dǎo)致包含該 SDK 的應(yīng)用程序受到攻擊。
從 APP 類型來看,實用工具類APP 內(nèi)置第三方 SDK 的數(shù)量最多,占比 20.43%;其次為教育學(xué)習(xí)類APP,占比 11.66%;其他類APP 位列第三,占比 8.91%。內(nèi)置第三方 SDK 應(yīng)用各類型 APP 占比如圖 12 所示:
06 應(yīng)用加固現(xiàn)狀分析
隨著移動 APP 滲透到人們生活的方方面面,黑灰產(chǎn)業(yè)也隨之壯大,應(yīng)用若沒有防護,則無異于 " 裸奔 ",對 APP 進行安全加固可有效防止其被逆向分析、反編譯、二次打包、惡意篡改等。從全國的 Android APP 中隨機抽取 96,214 款進行加固引擎檢測,檢測出已加固的應(yīng)用僅占應(yīng)用總量的 36.22%。
從應(yīng)用類型來看,APP 加固率排名前三的分別是黨政機關(guān)、金融理財、新聞閱讀類 APP。不同 APP 類型加固占比如圖 13 所示:
縱觀全國移動應(yīng)用安全現(xiàn)狀,應(yīng)用漏洞、隱私違規(guī)問題最為突出,盜版仿冒應(yīng)用、數(shù)據(jù)境外傳輸?shù)劝踩{同樣不容小覷,如何應(yīng)對各類風(fēng)險需要各方力量共同參與。
在此趨勢背景下,梆梆安全深耕移動安全與物聯(lián)網(wǎng)安全領(lǐng)域,依托自主研發(fā),以 AI 大模型為基座構(gòu)建覆蓋 " 防護 - 檢測 - 監(jiān)測 - 響應(yīng) " 的應(yīng)用全生命周期防御體系。通過 AI 賦能的智能威脅感知與動態(tài)防護技術(shù),幫助行業(yè)用戶有效應(yīng)對各業(yè)務(wù)場景中復(fù)雜多變的安全挑戰(zhàn)。未來,梆梆安全將持續(xù)探索安全能力與數(shù)字基建的深度融合,為推動網(wǎng)絡(luò)安全新質(zhì)生產(chǎn)力貢獻力量。
掃碼下載
掃描下方二維碼即可下載《2025 年 Q2 移動應(yīng)用安全風(fēng)險報告》完整版
