梆梆安全發(fā)布《2025 年 Q2 移動(dòng)應(yīng)用安全風(fēng)險(xiǎn)報(bào)告》。本報(bào)告基于梆梆安全移動(dòng)應(yīng)用監(jiān)管平臺(tái)在 2025 年第二季度的威脅監(jiān)測(cè)數(shù)據(jù)與深度安全分析成果，系統(tǒng)梳理當(dāng)前國(guó)內(nèi)移動(dòng)應(yīng)用面臨的新型攻擊技術(shù)演進(jìn)與安全趨勢(shì)變化，聚焦盜版仿冒、境外數(shù)據(jù)傳輸、高危漏洞、個(gè)人隱私違規(guī)等多個(gè)維度，為移動(dòng)應(yīng)用安全建設(shè)工作提供有效建議和決策參考。

據(jù) CNNIC 第 55 次統(tǒng)計(jì)報(bào)告顯示，截至 2024 年 12 月，我國(guó)網(wǎng)民規(guī)模突破 11 億大關(guān)，其中移動(dòng)端用戶占比高達(dá) 99.7%，形成以 11.05 億手機(jī)用戶為核心的超級(jí)數(shù)字生態(tài)。值得注意的是，使用智能網(wǎng)聯(lián)汽車(chē)、智能家居及個(gè)人可穿戴設(shè)備上網(wǎng)的比例也在同步提升，其中，車(chē)聯(lián)網(wǎng)終端用戶突破 1.19 億，萬(wàn)物智聯(lián)時(shí)代正在加速到來(lái)。

數(shù)字技術(shù)驅(qū)動(dòng)產(chǎn)業(yè)變革之際，移動(dòng)應(yīng)用作為商業(yè)價(jià)值的關(guān)鍵載體，在承載用戶生產(chǎn)數(shù)據(jù)與商業(yè)資產(chǎn)的同時(shí)，面臨嚴(yán)峻安全挑戰(zhàn)。黑灰產(chǎn)攻擊已形成針對(duì)應(yīng)用漏洞的定向突破機(jī)制，導(dǎo)致用戶隱私泄露、企業(yè)核心資產(chǎn)遭惡意利用等系統(tǒng)性風(fēng)險(xiǎn)。（文末可掃碼下載查看報(bào)告原文）

01 全國(guó)移動(dòng)應(yīng)用概況

根據(jù)梆梆安全移動(dòng)應(yīng)用監(jiān)管平臺(tái)對(duì)國(guó)內(nèi)外 1000+ 活躍應(yīng)用市場(chǎng)實(shí)時(shí)監(jiān)測(cè)的數(shù)據(jù)顯示，2025 年 4 月 1 日至 2025 年 6 月 30 日新發(fā)布的應(yīng)用中，歸屬于全國(guó)的 Android 應(yīng)用總量為 141,868 款，涉及開(kāi)發(fā)者總量 44,104 家。

從 APP 的分布區(qū)域來(lái)看，廣東省 APP 數(shù)量仍然位居第一，約占全國(guó) APP 總量的 20.24%，位居第二、第三的區(qū)域分別是北京市和上海市，對(duì)應(yīng)歸屬的 APP 數(shù)量是 22,052、13,794 個(gè)。具體分布如圖 1 所示：

圖 1 全國(guó) APP 區(qū)域分布 TOP10

從 APP 的渠道分布來(lái)看，截止統(tǒng)計(jì)周期內(nèi)，全國(guó)移動(dòng)應(yīng)用分發(fā)市場(chǎng)有 1,305 家，位居渠道排名前三的分別為VIVO 應(yīng)用商店、應(yīng)用寶、0714 資源網(wǎng)。全國(guó)移動(dòng)應(yīng)用渠道分布如圖 2 所示：

圖 2 全國(guó)移動(dòng)應(yīng)用渠道分布 TOP10

從 APP 的功能和用途類(lèi)型來(lái)看，實(shí)用工具類(lèi)APP 數(shù)量穩(wěn)居首位，占全國(guó) APP 總量的 20.74% ；教育學(xué)習(xí)類(lèi)APP 位居第二，占全國(guó) APP 總量的 11.37%；商務(wù)辦公類(lèi)APP 排名第三，占全國(guó) APP 總量的 8.46%。各類(lèi)型 APP 占比情況如圖 3 所示：

圖 3 全國(guó) APP 類(lèi)型分布 TOP10

02 全國(guó)移動(dòng)應(yīng)用安全分析概況

據(jù)《2025 年 Q1 移動(dòng)互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)研究報(bào)告》顯示，移動(dòng)互聯(lián)網(wǎng)人均每日使用時(shí)長(zhǎng)為 5.52 小時(shí)，人均 APP 安裝數(shù)量穩(wěn)定在 75 款左右，APP 已對(duì)居民日常生活實(shí)現(xiàn)了充分覆蓋。在 AI 賦能之下，大量新產(chǎn)品、新賽道持續(xù)涌現(xiàn)，移動(dòng)互聯(lián)網(wǎng)市場(chǎng)活力尚存。與此同時(shí)，移動(dòng)應(yīng)用的安全隱患日益凸顯。整體來(lái)看，風(fēng)險(xiǎn)集中在數(shù)據(jù)違規(guī)收集、數(shù)據(jù)惡意濫用、數(shù)據(jù)非法獲取、數(shù)據(jù)惡意散播。這些風(fēng)險(xiǎn)廣泛存在于當(dāng)前主流 APP 中，嚴(yán)重威脅數(shù)據(jù)安全與個(gè)人信息安全。

梆梆安全移動(dòng)應(yīng)用監(jiān)管平臺(tái)通過(guò)調(diào)用不同類(lèi)型的自動(dòng)化檢測(cè)引擎，對(duì)全國(guó) Android 應(yīng)用進(jìn)行抽樣檢測(cè)，風(fēng)險(xiǎn)應(yīng)用從盜版（仿冒）、境外數(shù)據(jù)傳輸、高危漏洞、個(gè)人隱私違規(guī)4 個(gè)維度綜合統(tǒng)計(jì)，風(fēng)險(xiǎn)應(yīng)用數(shù)量如圖 4 所示：

圖 4 風(fēng)險(xiǎn)應(yīng)用數(shù)量統(tǒng)計(jì)

01 漏洞風(fēng)險(xiǎn)分析

從全國(guó) Android APP 中隨機(jī)抽取 30,339 款進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)存在漏洞威脅的 APP 為 23,907 個(gè)，即 78.8% 以上的 APP 存在中高危漏洞風(fēng)險(xiǎn)。在這 23,907 款 APP 漏洞中，高危漏洞占比 74.77%，中危漏洞占比 97.65%（同一 APP 可能存在多個(gè)等級(jí)漏洞）。

對(duì)不同類(lèi)型的漏洞進(jìn)行統(tǒng)計(jì)，多數(shù)安全漏洞可以通過(guò)應(yīng)用加固方案解決，由此也反映出部分開(kāi)發(fā)者與運(yùn)營(yíng)者重功能輕安全防護(hù)，安全意識(shí)薄弱。應(yīng)用漏洞數(shù)量排名前三的類(lèi)型分別為Java 代碼反編譯風(fēng)險(xiǎn)、HTTPS 未校驗(yàn)主機(jī)名漏洞，動(dòng)態(tài)注冊(cè) Receiver 風(fēng)險(xiǎn)。各漏洞類(lèi)型占比情況如圖 5 所示：

圖 5 漏洞類(lèi)型占比 TOP10

從 APP 類(lèi)型來(lái)看，實(shí)用工具類(lèi)APP 存在的漏洞風(fēng)險(xiǎn)最多，占漏洞 APP 總量的 20.9%；其次為教育學(xué)習(xí)類(lèi)APP，占比 11.37%；生活服務(wù)類(lèi)APP 位居第三，占比 8.52%，漏洞數(shù)量排名前 10 的 APP 類(lèi)型如圖 6 所示：

圖 6 存在漏洞的 APP 類(lèi)型 TOP10

02 盜版（仿冒）風(fēng)險(xiǎn)分析

" 劍網(wǎng)行動(dòng) " 是由國(guó)家版權(quán)局、工業(yè)和信息化部、公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室四部門(mén)聯(lián)合打擊網(wǎng)絡(luò)侵權(quán)盜版的專(zhuān)項(xiàng)行動(dòng)。自 2005 年啟動(dòng)以來(lái)，該行動(dòng)針對(duì)網(wǎng)絡(luò)侵權(quán)盜版的熱點(diǎn)難點(diǎn)問(wèn)題，聚焦網(wǎng)絡(luò)細(xì)分領(lǐng)域，查處了一批侵權(quán)盜版大案要案，有效打擊和震懾了網(wǎng)絡(luò)侵權(quán)盜版行為，營(yíng)造了良好的網(wǎng)絡(luò)版權(quán)秩序，保護(hù)了互聯(lián)網(wǎng)企業(yè)版權(quán)合法權(quán)益。" 劍網(wǎng) 2025" 專(zhuān)項(xiàng)行動(dòng)于 2025 年 5 月至 11 月開(kāi)展，這是全國(guó)持續(xù)開(kāi)展的第 21 次打擊網(wǎng)絡(luò)侵權(quán)盜版專(zhuān)項(xiàng)行動(dòng)。本次專(zhuān)項(xiàng)行動(dòng)聚焦 6 個(gè)主要方面開(kāi)展版權(quán)整治，包括：視聽(tīng)作品、動(dòng)漫及游戲領(lǐng)域、計(jì)算機(jī)軟件、網(wǎng)絡(luò)存儲(chǔ) + 傳播領(lǐng)域、網(wǎng)絡(luò)銷(xiāo)售、流媒體智能終端。

盜版 APP 是指未經(jīng)版權(quán)所有人同意或授權(quán)的情況下，利用非法手段在原 APP 中加入惡意代碼，進(jìn)行二次發(fā)布，造成用戶信息泄露、手機(jī)感染病毒，或其他安全危害的 APP。從全國(guó)的 Android APP 中隨機(jī)抽取 371 款進(jìn)行盜版（仿冒）引擎分析，檢測(cè)出盜版（仿冒）APP 371 個(gè)，其中實(shí)用工具、新聞閱讀、游戲娛樂(lè)類(lèi)應(yīng)用是山寨 APP 的重災(zāi)區(qū)，各類(lèi)型占比情況如圖 7 所示：

圖 7 盜版（仿冒）APP 類(lèi)型 TOP10

03 境外傳輸數(shù)據(jù)分析

保證數(shù)據(jù)出境安全，不僅是提高數(shù)字經(jīng)濟(jì)全球競(jìng)爭(zhēng)力的基礎(chǔ)，更是守護(hù)國(guó)家安全的保障。國(guó)家互聯(lián)網(wǎng)信息辦公室先后出臺(tái)實(shí)施《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》，發(fā)布《關(guān)于實(shí)施個(gè)人信息保護(hù)認(rèn)證的公告》及配套認(rèn)證規(guī)則，明確數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證等制度的實(shí)施路徑，依法有序開(kāi)展數(shù)據(jù)出境安全管理工作。

從全國(guó)的 Android APP 中隨機(jī)抽取 8,924 款 Android APP 進(jìn)行境外數(shù)據(jù)傳輸引擎分析，發(fā)現(xiàn)其中1,109款應(yīng)用存在往境外的 IP 傳輸數(shù)據(jù)的情況，從統(tǒng)計(jì)數(shù)據(jù)來(lái)看，發(fā)往澳大利亞的最多，占比53.92%；其次是發(fā)往美國(guó)，占比36.43%。無(wú)論是針對(duì)移動(dòng)應(yīng)用程序自身程序代碼的數(shù)據(jù)外發(fā)行為，還是針對(duì)第三方 SDK 的境外數(shù)據(jù)外發(fā)行為，都建議監(jiān)管部門(mén)加強(qiáng)對(duì)數(shù)據(jù)出境行為的監(jiān)管。數(shù)據(jù)傳輸至境外國(guó)家占比排行情況如圖 8 所示：

圖 8 數(shù)據(jù)傳輸至境外國(guó)家占比 TOP10

從 APP 類(lèi)型來(lái)看，實(shí)用工具類(lèi)APP 往境外 IP 傳輸數(shù)據(jù)的情況最多，占境外傳輸 APP 總量的 19.21%；其次為其他類(lèi) APP，占比 13.26%；影音視聽(tīng)類(lèi) APP占比 8.75%，位列第三。各類(lèi)型占比情況如圖 9 所示：

圖 9 境外傳輸數(shù)據(jù) APP 各類(lèi)型占比 TOP10

04 個(gè)人隱私違規(guī)分析

2025 年央視 3 · 15 晚會(huì)聚焦技術(shù)偽裝下的隱私掠奪亂象：偽合法電子簽合同、AI 騷擾產(chǎn)業(yè)鏈等新型侵權(quán)手段浮出水面。借貸寶、人人信等平臺(tái)以協(xié)議為名行虛增債務(wù)、偽造身份之實(shí)；部分企業(yè)濫用爬蟲(chóng)技術(shù)抓取短視頻平臺(tái)用戶手機(jī)號(hào)、社交賬號(hào)，甚至通過(guò)三網(wǎng)數(shù)據(jù)建立超 3800 項(xiàng)用戶畫(huà)像標(biāo)簽。當(dāng)前 APP 強(qiáng)制索權(quán)、違規(guī)收集信息已成頑疾，用戶隱私主權(quán)在網(wǎng)絡(luò)空間持續(xù)失守，亟待系統(tǒng)性治理。

基于《信息安全技術(shù) 個(gè)人信息安全規(guī)范》《APP 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《常見(jiàn)類(lèi)型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》等相關(guān)要求，從全國(guó) Android APP 中隨機(jī)抽取 8,924 款進(jìn)行合規(guī)引擎分析，檢測(cè)出72.27% 的 APP 涉及隱私違規(guī)現(xiàn)象，如：違規(guī)收集個(gè)人信息、超范圍收集個(gè)人信息、強(qiáng)制用戶使用定向推送功能等。各違規(guī)類(lèi)型占比情況如圖 10 所示：

圖 10 個(gè)人隱私違規(guī)類(lèi)型占比情況

從 APP 類(lèi)型來(lái)看，實(shí)用工具類(lèi)APP 存在個(gè)人隱私違規(guī)問(wèn)題最多，占檢測(cè)總量的 16.76%，其中五成以上涉及頻繁申請(qǐng)權(quán)限問(wèn)題；其他類(lèi)APP 存在隱私違規(guī)問(wèn)題占檢測(cè)總量的 14.67%，位居第二；教育學(xué)習(xí)類(lèi)APP 存在隱私違規(guī)問(wèn)題占檢測(cè)總量的 9.66%，位居第三。涉及個(gè)人隱私違規(guī) APP 各類(lèi)型占比如圖 11 所示：

圖 11 個(gè)人隱私違規(guī) APP 類(lèi)型 TOP10

05 第三方 SDK 風(fēng)險(xiǎn)分析

第三方 SDK 是由廣告平臺(tái)、數(shù)據(jù)提供商、社交網(wǎng)絡(luò)和地圖服務(wù)提供商等三方服務(wù)公司開(kāi)發(fā)的工具包，APP 開(kāi)發(fā)者、運(yùn)營(yíng)者出于開(kāi)發(fā)成本、運(yùn)行效率考量，普遍在 APP 開(kāi)發(fā)設(shè)計(jì)過(guò)程中使用第三方軟件開(kāi)發(fā)包（SDK）簡(jiǎn)化開(kāi)發(fā)流程。從全國(guó)的 Android APP 中隨機(jī)抽取 31,319 款進(jìn)行第三方 SDK 引擎分析，檢測(cè)出95.56% 的應(yīng)用內(nèi)置了第三方 SDK。如果 SDK 有安全漏洞，可能導(dǎo)致包含該 SDK 的應(yīng)用程序受到攻擊。

從 APP 類(lèi)型來(lái)看，實(shí)用工具類(lèi)APP 內(nèi)置第三方 SDK 的數(shù)量最多，占比 20.43%；其次為教育學(xué)習(xí)類(lèi)APP，占比 11.66%；其他類(lèi)APP 位列第三，占比 8.91%。內(nèi)置第三方 SDK 應(yīng)用各類(lèi)型 APP 占比如圖 12 所示：

圖 12 內(nèi)置第三方 SDK 應(yīng)用各類(lèi)型 APP 占比 TOP10

06 應(yīng)用加固現(xiàn)狀分析

隨著移動(dòng) APP 滲透到人們生活的方方面面，黑灰產(chǎn)業(yè)也隨之壯大，應(yīng)用若沒(méi)有防護(hù)，則無(wú)異于 " 裸奔 "，對(duì) APP 進(jìn)行安全加固可有效防止其被逆向分析、反編譯、二次打包、惡意篡改等。從全國(guó)的 Android APP 中隨機(jī)抽取 96,214 款進(jìn)行加固引擎檢測(cè)，檢測(cè)出已加固的應(yīng)用僅占應(yīng)用總量的 36.22%。

從應(yīng)用類(lèi)型來(lái)看，APP 加固率排名前三的分別是黨政機(jī)關(guān)、金融理財(cái)、新聞閱讀類(lèi) APP。不同 APP 類(lèi)型加固占比如圖 13 所示：

圖 13 不同 APP 類(lèi)型加固占比

縱觀全國(guó)移動(dòng)應(yīng)用安全現(xiàn)狀，應(yīng)用漏洞、隱私違規(guī)問(wèn)題最為突出，盜版仿冒應(yīng)用、數(shù)據(jù)境外傳輸?shù)劝踩{同樣不容小覷，如何應(yīng)對(duì)各類(lèi)風(fēng)險(xiǎn)需要各方力量共同參與。

在此趨勢(shì)背景下，梆梆安全深耕移動(dòng)安全與物聯(lián)網(wǎng)安全領(lǐng)域，依托自主研發(fā)，以 AI 大模型為基座構(gòu)建覆蓋 " 防護(hù) - 檢測(cè) - 監(jiān)測(cè) - 響應(yīng) " 的應(yīng)用全生命周期防御體系。通過(guò) AI 賦能的智能威脅感知與動(dòng)態(tài)防護(hù)技術(shù)，幫助行業(yè)用戶有效應(yīng)對(duì)各業(yè)務(wù)場(chǎng)景中復(fù)雜多變的安全挑戰(zhàn)。未來(lái)，梆梆安全將持續(xù)探索安全能力與數(shù)字基建的深度融合，為推動(dòng)網(wǎng)絡(luò)安全新質(zhì)生產(chǎn)力貢獻(xiàn)力量。

掃碼下載

掃描下方二維碼即可下載《2025 年 Q2 移動(dòng)應(yīng)用安全風(fēng)險(xiǎn)報(bào)告》完整版