前言

隨著智能手機和平板電腦等移動設備用戶數量的劇增，移動應用的數量和種類亦在不斷膨脹，加速了數字化轉型的步伐。然而，伴隨著這一增長的是移動應用安全形勢的日益嚴峻。我們見證了惡意軟件的猖獗、數據泄露事件的頻發以及隱私侵犯問題的嚴重性，這些不僅威脅到廣大個人用戶的信息安全，也會對企業的數據資產構成潛在的風險。

為了深入剖析復雜且多變的安全環境，并為所有監管機構、企業、開發者提供參考，愛加密和中國電信研究院依托其專業的技術團隊，利用大數據分析和移動安全領域的專業知識，精心編撰了《2023年全國移動應用安全觀測報告》。

全國移動互聯網應用概況

全國移動互聯網應用總量綜合情況 

截至2023年，移動應用安全大數據平臺收錄全國Android應用共計453萬款，iOS應用共計295萬款，微信公眾號621萬個，微信小程序360萬個。2023年年度，全國總計更新及新上架的應用共計27萬款。

近三年全國總量綜合情況

全國活躍移動互聯網應用功能類型分布情況

截至到2023年12月31日，全國活躍應用總計7萬款。從功能類型來看，游戲類應用活躍度較高，占全國活躍應用總量的27%，位居第一，近三年對比，游戲應用遠低于以往兩年；生活實用類應用數量占全國活躍應用的16%，位居第二；辦公學習類應用數量占全國活躍應用的12%，位居第三。

全國活躍應用功能分類情況

漏洞風險概況

各等級風險漏洞情況移動應用大數據平臺利用安全檢測引擎對有更新的應用，進行140項漏洞掃描。檢查結果顯示：有高達76.89%的應用被識別為高危應用。這個比例相比于過去兩年有了2.02%的小幅增長。數據表明，盡管我們在技術和安全措施上有所進步，但高危漏洞在移動互聯網應用中的存在仍然是一個嚴重的問題，因為它意味著我們的個人信息、財務信息和其他重要數據可能會因為這些漏洞而受到威脅。

Android應用不同風險等級漏洞的應用占比

各風險漏洞類型應用排行情況

截至2023年12月31日，全國351萬款Android應用通過移動應用安全平臺進行風險檢測，有高危漏洞的應用約239萬款，占應用總數的76.89%。本年度排名前三的漏洞分別是：“Janus漏洞”、“截屏攻擊風險”、“未移除有風險的WebView系統隱藏接口漏洞”。存在漏洞較多的移動應用更加容易受到攻擊，造成用戶隱私泄露或直接的財產損失，應用運營者/開發者應采取安全加固等有效措施，防范和應對網絡攻擊，保障系統安全平穩運行。詳見下圖：

Android應用漏洞類型排行

各功能類型存在高危風險漏洞的應用排行情況

我們發現某些類型的應用存在高危漏洞的風險特別高。具體來看，主題壁紙類應用其存在高危漏洞的應用數量占到了我們檢測總量的92.0%，緊隨其后的是拍攝美化類應用，存在高危漏洞的應用數量占檢測總量的88.4%。第三名是系統工具類應用，高危漏洞的應用數量占檢測總量的86.9%。

與過去兩年的數據相比，2023年移動應用存在的高危漏洞比例總體上超過了80%，這一趨勢表明移動應用的安全問題仍然十分嚴峻。當移動應用存在漏洞時，它們很可能成為攻擊者的目標。攻擊者可以利用這些漏洞進行惡意攻擊，不僅可能導致用戶數據的泄露，還可能篡改數據，給用戶帶來嚴重的隱私和財產損失。

存在高危漏洞風險的應用功能類型占比TOP10

植入惡意程序情況概況

近年來，移動互聯網應用植入惡意程序的情況近年來呈現出增長的趨勢，這些惡意程序可能會竊取用戶的個人信息、破壞系統、惡意扣費、彈出廣告等，對移動用戶的個人信息及財產安全帶來巨大的威脅。

主要惡意程序風險描述

截至2023年12月，全國累計含有惡意程序的應用29萬款，其中惡意程序類型以“流氓行為”為主，這些惡意程序主要存在對移動用戶的隱私數據收集、惡意扣費、流量資源消耗、系統破壞和廣告推送等多種惡意行為，對移動用戶的個人信息及財產安全帶來巨大的威脅。詳見下圖：

惡意程序類型統計表

惡意應用功能類型分布情況

從功能類型來看，游戲應用類存在惡意應用的數量占全國惡意應用總量的49.66%，位居第一，遠超其他類型應用。這類惡意軟件可能會以廣告軟件的形式出現，通過彈窗廣告干擾用戶，或者更糟糕的是，利用用戶瀏覽器的漏洞進行偷渡式下載，安裝惡意程序到用戶的設備上，模仿流行游戲的惡意軟件和不需要的軟件；詳情見下圖：

惡意應用功能類型分布TOP10

盜版/仿冒情況分析

仿冒盜版應用的猖獗會危害正版軟件市場的發展和創新，給真正的開發運營者帶來名譽及利益損害。2023年，中國信息通信研究院推行App簽名服務系統，用戶可以通過應用簽名和驗證識別正版應用，從而避免下載和使用未經認證的應用可能帶來的風險。

盜版/仿冒應用功能類型分布情況

針對有更新的應用進行盜版/仿冒檢測，檢測結果統計顯示疑似盜版仿冒的應用共計14萬款，從應用功能類型分布來看，排名前三的功能類型為：游戲類、生活實用類、影音播放類。

盜版/仿冒應用功能類型分布TOP10

技術安全保護措施

未采取技術安全保護措施的應用占比情況

對全國移動應用中未采取技術安全保護措施的應用（即未加固應用）情況進行統計，已采取技術安全保護措施的應用總計40萬款，占8.94%，未采取技術安全保護措施的應用占總量的91.06%。應用如果不進行技術安全保護措施會無法確保應用安全，無法防止被破解、二次打包、惡意篡改等。近三年未采取技術安全保護措施的應用占比變化如下：

近三年未采取技術安全保護措施的應用占比

建議開發者、服務提供商以及相關政策制定者加強對移動應用安全性的關注。特別是對于未采取安全措施的應用，應進行詳細的風險評估，并采取適當的安全加固措施。此外，用戶也應提高對應用安全性的認識，選擇那些已采取安全措施的應用進行下載和使用。

未采取技術安全保護措施的應用功能類型分布情況

通過對未采取技術安全保護措施的應用功能類型進行統計發現，游戲類未采取技術安全保護措施應用占該類型應用總量的91.64%，排名第一。游戲類應用通常涉及用戶的互動和虛擬財產交易，如果沒有適當的安全措施，它們容易成為黑客攻擊的目標。黑客可以通過植入惡意代碼來竊取用戶數據，或者通過篡改游戲內的支付渠道來實施詐騙。此外，未經授權的第三方也可能通過插入廣告代碼來篡改游戲內容，不僅損害了玩家的游戲體驗，也侵蝕了開發者的收益。詳見下圖：

未采取技術安全保護措施應用功能類型分布TOP10

愛加密移動應用安全加固平臺可為開發者提供全面的移動應用安全加固技術，包括Android應用加固、iOS加固、游戲應用加固、H5文件加固、微信小程序加固、SDK加固和源對源混淆加固技術等技術，從根本上解決移動應用的安全缺陷和風險，使加固后的移動應用具備防逆向分析、防二次打包、防動態調試、防進程注入、防數據篡改等安全保護能力。

產品擁有五大優勢：

• 加固包增量小：加密后包增量大小不超過原包“±5%”。
• 兼容性好：加固包兼容性高達99%，實現ART全面兼容。
• 全面的移動應用安全加固技術：支持Android應用加固、iOS應用加固、游戲應用加固、H5文件加固、Android SDK加固、so文件加固。
• 高效的性能，節約時間：應用加固時間短，可即時獲取加固后的應用。
• 無人工操作，節約成本：全自動一鍵操作，無需專業的安全技術人員參與，大幅降低人力開銷及技術學習成本。