《2025年Q2移动应用安全风险报告》披露,超七成APP涉隐私违规,违规收集、超范围收集、强制推送仍为重灾区
导语:梆梆安全发布《2025年Q2移动应用安全风险报告》。
梆梆安全发布《2025年Q2移动应用安全风险报告》。本报告基于梆梆安全移动应用监管平台在2025年第二季度的威胁监测数据与深度安全分析成果,系统梳理当前国内移动应用面临的新型攻击技术演进与安全趋势变化,聚焦盗版仿冒、境外数据传输、高危漏洞、个人隐私违规等多个维度,为移动应用安全建设工作提供有效建议和决策参考。
据CNNIC第55次统计报告显示,截至2024年12月,我国网民规模突破11亿大关,其中移动端用户占比高达99.7%,形成以11.05亿手机用户为核心的超级数字生态。值得注意的是,使用智能网联汽车、智能家居及个人可穿戴设备上网的比例也在同步提升,其中,车联网终端用户突破1.19亿,万物智联时代正在加速到来。
数字技术驱动产业变革之际,移动应用作为商业价值的关键载体,在承载用户生产数据与商业资产的同时,面临严峻安全挑战。黑灰产攻击已形成针对应用漏洞的定向突破机制,导致用户隐私泄露、企业核心资产遭恶意利用等系统性风险。(文末可扫码下载查看报告原文)
01 全国移动应用概况
根据梆梆安全移动应用监管平台对国内外1000+活跃应用市场实时监测的数据显示,2025年4月1日至2025年6月30日新发布的应用中,归属于全国的Android应用总量为141,868款,涉及开发者总量44,104家。
从APP的分布区域来看,广东省APP数量仍然位居第一,约占全国APP总量的20.24%,位居第二、第三的区域分别是北京市和上海市,对应归属的APP数量是22,052、13,794个。具体分布如图1所示:
图1 全国APP区域分布TOP10
从APP的渠道分布来看,截止统计周期内,全国移动应用分发市场有1,305家,位居渠道排名前三的分别为VIVO应用商店、应用宝、0714资源网。全国移动应用渠道分布如图2所示:
图2 全国移动应用渠道分布TOP10
从APP的功能和用途类型来看,实用工具类APP数量稳居首位,占全国APP总量的 20.74% ;教育学习类APP位居第二,占全国APP总量的11.37%;商务办公类APP排名第三,占全国 APP总量的8.46%。各类型APP占比情况如图3所示:
图3 全国APP类型分布TOP10
02 全国移动应用安全分析概况
据《2025年Q1移动互联网行业数据研究报告》显示,移动互联网人均每日使用时长为5.52小时,人均APP安装数量稳定在75款左右,APP已对居民日常生活实现了充分覆盖。在AI赋能之下,大量新产品、新赛道持续涌现,移动互联网市场活力尚存。与此同时,移动应用的安全隐患日益凸显。整体来看,风险集中在数据违规收集、数据恶意滥用、数据非法获取、数据恶意散播。这些风险广泛存在于当前主流APP中,严重威胁数据安全与个人信息安全。
梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎,对全国Android应用进行抽样检测,风险应用从盗版(仿冒)、境外数据传输、高危漏洞、个人隐私违规4个维度综合统计,风险应用数量如图4所示:
图4 风险应用数量统计
01 漏洞风险分析
从全国Android APP中随机抽取30,339款进行漏洞检测,发现存在漏洞威胁的APP为23,907个,即78.8%以上的APP存在中高危漏洞风险。在这23,907款APP漏洞中,高危漏洞占比74.77%,中危漏洞占比97.65%(同一APP可能存在多个等级漏洞)。
对不同类型的漏洞进行统计,多数安全漏洞可以通过应用加固方案解决,由此也反映出部分开发者与运营者重功能轻安全防护,安全意识薄弱。应用漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞,动态注册Receiver风险。各漏洞类型占比情况如图5所示:
图5 漏洞类型占比TOP10
从APP类型来看,实用工具类APP存在的漏洞风险最多,占漏洞APP总量的20.9%;其次为教育学习类APP,占比11.37%;生活服务类APP位居第三,占比8.52%,漏洞数量排名前10的APP类型如图6所示:
图6 存在漏洞的APP类型TOP10
02 盗版(仿冒)风险分析
“剑网行动”是由国家版权局、工业和信息化部、公安部、国家互联网信息办公室四部门联合打击网络侵权盗版的专项行动。自2005年启动以来,该行动针对网络侵权盗版的热点难点问题,聚焦网络细分领域,查处了一批侵权盗版大案要案,有效打击和震慑了网络侵权盗版行为,营造了良好的网络版权秩序,保护了互联网企业版权合法权益。“剑网2025”专项行动于2025年5月至11月开展,这是全国持续开展的第21次打击网络侵权盗版专项行动。本次专项行动聚焦6个主要方面开展版权整治,包括:视听作品、动漫及游戏领域、计算机软件、网络存储+传播领域、网络销售、流媒体智能终端。
盗版APP是指未经版权所有人同意或授权的情况下,利用非法手段在原APP中加入恶意代码,进行二次发布,造成用户信息泄露、手机感染病毒,或其他安全危害的APP。从全国的Android APP中随机抽取371款进行盗版(仿冒)引擎分析,检测出盗版(仿冒)APP 371个,其中实用工具、新闻阅读、游戏娱乐类应用是山寨APP的重灾区,各类型占比情况如图7所示:
图7 盗版(仿冒)APP类型TOP10
03 境外传输数据分析
保证数据出境安全,不仅是提高数字经济全球竞争力的基础,更是守护国家安全的保障。国家互联网信息办公室先后出台实施《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》,发布《关于实施个人信息保护认证的公告》及配套认证规则,明确数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度的实施路径,依法有序开展数据出境安全管理工作。
从全国的Android APP中随机抽取8,924款Android APP进行境外数据传输引擎分析,发现其中1,109款应用存在往境外的IP传输数据的情况,从统计数据来看,发往澳大利亚的最多,占比53.92%;其次是发往美国,占比36.43%。无论是针对移动应用程序自身程序代码的数据外发行为,还是针对第三方SDK的境外数据外发行为,都建议监管部门加强对数据出境行为的监管。数据传输至境外国家占比排行情况如图8所示:
图8 数据传输至境外国家占比TOP10
从APP类型来看,实用工具类APP往境外IP传输数据的情况最多,占境外传输APP总量的19.21%;其次为其他类APP,占比13.26%;影音视听类APP占比8.75%,位列第三。各类型占比情况如图9所示:
图9 境外传输数据APP各类型占比TOP10
04 个人隐私违规分析
2025年央视3·15晚会聚焦技术伪装下的隐私掠夺乱象:伪合法电子签合同、AI骚扰产业链等新型侵权手段浮出水面。借贷宝、人人信等平台以协议为名行虚增债务、伪造身份之实;部分企业滥用爬虫技术抓取短视频平台用户手机号、社交账号,甚至通过三网数据建立超3800项用户画像标签。当前APP强制索权、违规收集信息已成顽疾,用户隐私主权在网络空间持续失守,亟待系统性治理。
基于《信息安全技术 个人信息安全规范》《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求,从全国Android APP中随机抽取8,924款进行合规引擎分析,检测出72.27%的APP涉及隐私违规现象,如:违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如图10所示:
图10 个人隐私违规类型占比情况
从APP类型来看,实用工具类APP存在个人隐私违规问题最多,占检测总量的16.76%,其中五成以上涉及频繁申请权限问题;其他类APP存在隐私违规问题占检测总量的14.67%,位居第二;教育学习类APP存在隐私违规问题占检测总量的9.66%,位居第三。涉及个人隐私违规APP各类型占比如图11所示:
图11 个人隐私违规APP类型TOP10
05 第三方SDK风险分析
第三方SDK是由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包,APP开发者、运营者出于开发成本、运行效率考量,普遍在APP开发设计过程中使用第三方软件开发包(SDK)简化开发流程。从全国的Android APP中随机抽取31,319款进行第三方SDK引擎分析,检测出95.56%的应用内置了第三方SDK。如果SDK有安全漏洞,可能导致包含该SDK的应用程序受到攻击。
从APP类型来看,实用工具类APP内置第三方SDK的数量最多,占比20.43%;其次为教育学习类APP,占比11.66%;其他类APP位列第三,占比8.91%。内置第三方SDK应用各类型APP占比如图12所示:
图12 内置第三方SDK应用各类型APP占比TOP10
06 应用加固现状分析
随着移动APP渗透到人们生活的方方面面,黑灰产业也随之壮大,应用若没有防护,则无异于“裸奔”,对APP进行安全加固可有效防止其被逆向分析、反编译、二次打包、恶意篡改等。从全国的Android APP中随机抽取96,214款进行加固引擎检测,检测出已加固的应用仅占应用总量的36.22%。
从应用类型来看,APP加固率排名前三的分别是党政机关、金融理财、新闻阅读类APP。不同APP类型加固占比如图13所示:
图13 不同APP类型加固占比
纵观全国移动应用安全现状,应用漏洞、隐私违规问题最为突出,盗版仿冒应用、数据境外传输等安全威胁同样不容小觑,如何应对各类风险需要各方力量共同参与。
在此趋势背景下,梆梆安全深耕移动安全与物联网安全领域,依托自主研发,以AI大模型为基座构建覆盖“防护-检测-监测-响应”的应用全生命周期防御体系。通过AI赋能的智能威胁感知与动态防护技术,帮助行业用户有效应对各业务场景中复杂多变的安全挑战。未来,梆梆安全将持续探索安全能力与数字基建的深度融合,为推动网络安全新质生产力贡献力量。
扫码下载
扫描下方二维码即可下载《2025年Q2移动应用安全风险报告》完整版
发表评论