本文来自安全牛,作者/通付盾。
近日,通付盾北斗团队整理发布了2022年第一季度移动应用安全季报。报告介绍了移动应用的整体情况、相关法律法规、APP隐私合规情况、APP漏洞情况和移动安全趋势分析等内容。以下为报告概览:
一、整体概况
随着《中华人民共和国个人信息保护法》自2021年11月1日起正式施行以来,一系列关于移动安全、个人信息安全的法规政策相继颁发。
2022年5月10日,工业和信息化部科技司根据标准制修订计划,相关标准化技术组织已完成通信行业《移动互联网应用程序(APP)收集使用个人信息最小必要评估规范第1部分:总则》等4项行业标准的制定工作。规定了移动互联网应用程序(APP)在处理涉及用户个人信息(位置信息)的告知同意、收集、存储、使用、删除、传输、删除等活动中的最小必要评估规范,并通过设备信息在处理活动中的典型应用场景来说明如何落实最小必要原则。
本文件适用于移动互联网应用程序(APP)提供者规范用户个人信息(位置信息)的处理活动,也适用于第三方评估机构等组织对移动应用软件收集使用设备信息行为进行监督、管理和评估。
二、应用概况
据工信部统计,截至2022年2月末,我国国内市场上监测到的APP数量为235万款,2月当月净增3万款。其中,本土第三方应用商店APP数量为101万款,苹果商店(中国区)APP数量133万款。移动应用规模排在前4位种类的APP数量占比达62.5%,其他社交通讯、办公学习、主题壁纸等10类APP占比为37.5%。其中,游戏类APP数量继续领先,达69.1万款,占全部APP比重为29.5%。日常工具类、电子商务类和生活服务类APP数量分别达34.8万、23万和19.7万款,分列第二至四位。
三、隐私合规情况
依据《App违法违规收集使用个人信息行为认定方法》、《个人信息保护法》及其他相关政策法规,从“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”这6个层面过对这4794款应用进行抽调检测。
报告调查发现,其中存在“未明示收集使用个人信息的目的、方式和范围”的App占比最高达64%、其次是“未经用户同意收集使用个人信息”占38%,“违反必要原则,收集与其提供的服务无关的个人信息”占24%。
四、APP漏洞情况
大多数常见的移动安全漏洞都由行业专家在开放平台如国家信息安全漏洞库(CNNVD)、漏洞信息库(CVE)、通用缺陷列表库(CWE)等支持下记录下来,以供开发人员参考。
调查团队使用代码反编译技术,进行代码层的应用安全检测,从编码规范、发布规范、代码安全、环境安全、组件安全、数据安全和安全漏洞7个层面,分析应用存在的漏洞风险,共采集应用安全风险80余项。
五、移动安全趋势分析
报告抽调了部分2022年及2021年应用发布的不同版本(下柱状图中蓝色代表2021年抽调统计结果,黄色代表2022年抽调统计结果),对其个人信息收集违规情况进行统计分析,发现总体呈大幅下降趋势,普遍下降了约35%。尤其“未公开收集使用说明”的应用数量明显下降,98%以上的应用都已添加了个人信息收集使用说明。
01
隐私合规安全
调查发现,在隐私合规方面,经历了数次大规模多部门联合的移动应用市场个人信息安全监测治理,个人信息安全得到了较大的改善。
“不给权限不让用”、“频繁索权”、“个性化推送”等用户可以通过应用运行使用直观感受到的问题已得到了基本解决。但是,“未明示收集使用个人信息的目的、方式和范围”以及“未经用户同意收集使用个人信息”这类需要借助检测工具、非肉眼可直观看到问题的应用仍占有很大比例。
02
APP安全
在APP安全方面,大部分应用已采用了代码混淆或第三方加固,使代码安全得到了较大提高,但是随着跨平台应用的普及,WebView相关的安全漏洞占比仍较高。针对这类应用需重点关注数据防泄露、请求防重放、内容防篡改、身份防伪装。