2025年Q2移动应用安全风险报告

2025年Q2 移动应用安全风险报告 数据范围：2025年4月1日-6月30日 北京梆梆安全科技有限公司报告日期：2025年07月03日 目录 1.前言2 2.全国移动应用概况2 2.1.APP资产总量统计2 2.2.APP分布区域概况3 2.3.APP上线渠道分布3 2.4.各类型APP占比分析4 3.1.风险数据综合统计5 3.2.移动APP漏洞风险分析6 3.3.盗版/仿冒风险分析8 3.4.境外数据传输分析10 3.全国移动APP安全分析概况5 3.5.个人隐私违规分析12 3.6.第三方SDK风险分析14 3.7.应用加固现状分析16 4.总结17 1.前言 互联网是承载数字经济发展的重要基础，在网络信息产业发展中扮演着重要角色。据中国互联网络信息中心(CNNIC)发布的第55次《中国互联网络发展状况 同时，移动互联网应用程序（以下简称：移动应用或APP）不断深化，用户规模持续增长，然而，移动应用在为人们提供便捷服务的同时，关于用户数据违规收集、数据恶意滥用等风险问题也层出不穷。下面将从移动应用概况、应用安全分析等角度，分析总结全国移动应用安全态势。 统计报告》显示，截止2024年12月，我国网民规模达11.08亿，其中手机网民规模达11.05亿，占比高达99.7%，我国以手机网民为核心的移动互联网生态已成为数字社会的新型基础设施。与此同时，使用智能网联汽车、智能家居设备和个人可穿戴设备上网的比例也在逐年增长，其中，使用智能网联汽车上网的网民规模达1.19亿。随着互联网、人工智能等数字技术在推动数字经济发展壮大的 2.全国移动应用概况 2.1.APP资产总量统计 根据梆梆安全移动应用监管平台对国内外1000+活跃应用市场实时监测的数据显示，2025-04-01至2025-06-30发布的应用中，归属于全国的Android应用总量为141,868款，涉及开发者总量44,104家。 2.2.APP分布区域概况 从APP分布的区域来看，广东省APP数量位于第一，约占全国APP总量的20.24%，位于第二、第三的区域分别是北京市和上海市，对应归属的APP数量是22,052、13,794。具体分布图如下： 图2-1全国移动APP区域分布图 2.3.APP上线渠道分布 根据梆梆安全移动应用监管平台的统计，2025-04-01至2025-06-30发布的应用中，全国移动APP分发的应用市场有1,305家，我们对全国APP数量排名前十的渠道做了统计分析发现，位居渠道排名前三甲的分别为VIVO应用商店、应用宝、0714资源网，应用数量排名Top10市场如下图所示： 图2-2全国移动APP渠道分布情况TOP10 2.4.各类型APP占比分析 我们将全国内APP按功能和用途划分为18种类型，其中，实用工具类APP 数量稳居首位，占全国APP总量的20.74%；教育学习类位居第二，占全国APP 总量的11.37%；商务办公类排名第三，占全国APP总量的8.46%，各类型APP 占比情况如下图所示： 图2-3全国移动APP类型分布TOP10 3.全国移动APP安全分析概况 3.1.风险数据综合统计 据《2025年Q1移动互联网行业数据研究报告》显示，移动互联网人均每日使用时长为5.52小时，人均APP安装数量稳定在75款左右，APP已对居民日常生活实现了充分覆盖。在AI赋能之下，大量新产品、新赛道持续涌现，移动互联网市场活力尚存。与此同时，移动APP的安全隐患日益凸显。整体来看，风险集中在数据违规收集、数据恶意滥用、数据非法获取、数据恶意散播。这些风险广泛存在于当前主流APP中，严重威胁数据安全与个人信息安全。 梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎对全国Android应用进行了抽样检测，风险应用从盗版仿冒、境外数据传输、高危漏 洞、个人隐私违规4个维度综合统计为： 3.2.移动APP漏洞风险分析 3.2.1.各等级漏洞概况 从全国的AndroidAPP中随机抽取了30,339款进行漏洞检测发现，存在中高危漏洞威胁的APP为23,907个，即78.8%以上的APP存在中高危漏洞风险。而这23,907款漏洞应用中，有高危漏洞的应用共17,875款，占比74.77%，有中危漏洞的应用共23,344款，占比97.65%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下： 图3-1不同风险等级漏洞的APP占比 3.2.2.各漏洞类型占比分析 我们对不同类型的漏洞进行了统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示： 图3-2漏洞类型排行TOP10 以上所示的大部分安全漏洞是可以通过使用商业版应用加固方案解决的，也从另外一个层面说明应用的运营者和开发者重功能、轻安全防护，安全意识不足。 3.2.3.存在漏洞的APP各类型占比分析 从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的20.9%，其次为教育学习类APP，占比11.37%，生活服务类APP位居第三，占比8.52%，漏洞数量排名前十的类型如下图所示： 图3-3存在漏洞的APPTOP10类型 3.3.盗版/仿冒风险分析 “剑网行动”是国家版权局、工业和信息化部、公安部、国家互联网信息办公室四部门联合打击网络侵权盗版的专项行动。自2005年起，国家版权局等部门针对网络侵权盗版的热点难点问题，聚焦网络细分领域，查处了一批侵权盗版 大案要案，有效打击和震慑了网络侵权盗版行为，营造了良好的网络版权秩序，保护了互联网企业版权合法权益。“剑网2025”专项行动于2025年5月至11 月开展，这是全国持续开展的第21次打击网络侵权盗版专项行动。本次专项行 动聚焦6个主要方面开展版权整治，包括：视听作品、动漫及游戏领域、计算机软件、网络存储+传播领域、网络销售、流媒体智能终端。 所谓盗版APP，指未经版权所有人同意或授权的情况下，利用非法手段在原APP中加入恶意代码，进行二次发布，造成用户信息泄露、手机感染病毒或者其他安全危害的APP。 3.3.1.盗版/仿冒APP各类型占比分析 从全国的AndroidAPP中随机抽取371款AndroidAPP进行盗版/仿冒引擎分析，检测出盗版/仿冒APP371个，其中，实用工具、新闻阅读、游戏娱乐类应用是山寨APP的重灾区，各类型占比情况如下图所示： 图3-5盗版/仿冒APP各类型占比情况 3.4.境外数据传输分析 在数字经济时代，数据的开放和共享对全球经济增长具有较强的驱动作用。根据美国布鲁金斯学会测算，全球数据跨境流动对全球GDP增长的推动作用已经超过贸易和投资。中国作为“数据大国”，保证数据出境安全，不仅是提高数字经济全球竞争力的基础，更是守护国家安全的保障。 准合同、个人信息保护认证等制度的实施路径，依法有序开展数据出境安全管理 工作。 3.4.1.境外IP地址分析 从全国的AndroidAPP中随机抽取8,924款AndroidAPP进行境外数据 国家互联网信息办公室先后出台实施《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》，发布《关于实施个人信息保护认证的公告》及配套认证规则，明确数据出境安全评估、个人信息出境标 传输引擎分析，发现1,109款应用存在往境外的IP传输数据的情况,从统计数据来看发往澳大利亚的最多，占比53.92%，其次是发往美国，占比36.43%，不论是移动应用程序自身程序代码的数据外发行为，还是第三方SDK的境外数据外发行为，都建议监管部门加强对数据境外外发行为的监管，尤其是发往澳大利亚的数据。 图3-7数据传输至境外国家排行TOP10 3.4.2.境外传输APP各类型占比分析 从APP类型来看，实用工具类APP往境外IP传输数据情况最多，占境外传 输APP总量的19.21%，其次为其他类APP，占比13.26%，影音视听类APP占境外传输APP总量的8.75%，位列第三。 图3-8境外传输APP各类型排行TOP10 3.5.个人隐私违规分析 空间的合法权益遭到挑战且呈现愈演愈烈的趋势，APP强制频繁索权，违法违规 收集使用个人信息问题普遍存在，亟需整治。 3.5.1.个人隐私违规类型占比分析 2025年央视“3·15晚会”揭露了黑灰产业利用技术外衣非法攫取个人隐私的系列事件。从披着合法外衣的“电子签高利贷陷阱”，到利用AI技术全天候骚扰用户的黑色产业链，个人信息主权正面临前所未有的挑战。借贷宝、人人信等平台以合法协议为幌子，实则通过虚增债务、虚假账号和人脸识别绕过等手段进行牟利，致使借款人陷入维权无门的困境；某些所谓“大数据获客”企业以爬虫技术为工具，肆意扫描短视频平台评论区，抓取用户手机号、社交账号等敏感信息，甚至通过三网通信数据对用户进行超3800项标签分类。个人信息在网络 作为需要联网才能正常工作的移动应用，采集网络权限、系统权限以及WiFi权限比较正常，但移动应用是否应该采集短信、电话以及位置等“危险权限”，则需要根据应用本身的合法业务需求进行分析。基于国家标准《信息安全技术个人信息安全规范》、《APP违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求，从全国的AndroidAPP中随机抽取8,924款进行合规引擎分析，检测出72.27%的应用涉及隐私违规现象，如：违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如下图所示： 图3-9个人隐私违规类型占比情况 3.5.2.个人隐私违规APP各类型排行 从APP类型来看，实用工具类APP存在个人隐私违规问题最多，占检测总量的16.76%，其中五成以上的实用工具类APP涉及频繁申请权限问题；其他类APP占检测总量的14.67%，位居第二，教育学习类APP占检测总量的9.66%，位居第三。涉及个人隐私违规APP各类型占比如下图所示： 图3-10个人隐私违规APPTOP10类型 3.6.第三方SDK风险分析 3.6.1.第三方SDK概况 第三方SDK是一种由广告平台、数据提供商、社交网络和地图服务提供商 等第三方服务公司开发的工具包，APP开发者、运营者出于开发成本、运行效率考量，普遍在APP开发设计过程中使用第三方软件开发包（SDK）简化开发流程。如果一个SDK有安全漏洞，可能会导致所有包含该SDK的应用程序受到攻击。从全国的AndroidAPP中随机抽取31,319款进行第三方SDK引擎分析，检测出95.56%的应用内置了第三方SDK，其中内置了OkHttp的应用最多，占比57.46%，其次为BumpTechGlide，占比52.82%，排在第三的为GlideMocksSDK，占比52.44%。 图3-11第三方SDK占比排行TOP10 3.6.2.内置第三方SDK应用各类型占比分析 从APP类型来看，实用工具类APP内置第三方SDK的数量最多，占比 20.43%，其次为教育学习类，占比11.66%，其他类APP位列第三，占比8.91%，详见下图： 图3-12内置第三方SDK应用类型排行TOP10 3.7.应用加固现状分析 3.7.1.应用加固概况 随着移动APP渗透到人们生活的方方面面，黑灰产业也随之壮大，应用没有防护无异于“裸奔”，对APP进行安全加固可有效防止被逆向分析、反编译、二次打包、恶意篡改等，从全国的AndroidAPP中随机抽取96,214款进行加固引擎检测，检测出已加固的应用仅占应用总量的36.22%。 图3-14已加固应用和未加固应用占比情况 3.7.2.各类型加固占比分析 从应用类型来看，党政机关类APP加固率最高，占党政机关类APP总量的70.47%，其次为金融理财类APP，占金融理财类APP总量的69.63%,排在第三的为新闻阅读类APP，占新闻阅读类APP总量的46.55%,已