上新 | 《2025年Q1移动应用安全风险报告》披露全国79.08%APP存在个人隐私违规现象 - 新鲜讯息

梆梆安全正式发布《2025年Q1移动应用安全风险报告》。本报告基于梆梆安全移动应用监管平台在2025年第一季度的威胁监测数据与深度安全分析成果，系统梳理当前国内移动应用面临的新型攻击技术演进与安全趋势变化，聚焦盗版仿冒、境外数据传输、高危漏洞、个人隐私违规等多个维度，为移动应用安全建设工作提供有效建议和决策参考。

（文末可扫码下载查看报告原文）

★

全国移动应用概况

根据梆梆安全移动应用监管平台对国内外1000+活跃应用市场实时监测的数据显示，2025年1月1日至2025年3月31日新发布的应用中，归属于全国的Android应用总量为161,238款，涉及开发者总量55,114家。

从APP分布的区域来看，广东省APP数量位居第一，约占全国APP总量的20.65%，位居第二、第三的区域分别是北京市和上海市，对应归属的APP数量是25,766、15,856个。具体分布如图1所示：

图1 全国APP区域分布TOP10

从APP的功能和用途类型来看，实用工具类APP数量稳居首位，占全国APP总量的 19.08% ；教育学习类APP位居第二，占全国APP总量的12.88%；商务办公类APP排名第三，占全国 APP总量的8.8%。各类型APP占比情况如图2所示：

图2 全国APP类型分布TOP10

★

全国移动应用安全分析概况

梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎，对全国Android应用进行抽样检测，风险应用从盗版（仿冒）、境外数据传输、高危漏洞、个人隐私违规4个维度综合统计，风险应用数量如图3所示：

图3 风险应用数量统计

漏洞风险分析

从全国Android APP中随机抽取59,202款进行漏洞检测，发现存在漏洞威胁的APP为46,393个，即78.36%以上的APP存在中高危漏洞风险。在这46,393款APP漏洞中，高危漏洞占比73.46%，中危漏洞占比97.75%（同一APP可能存在多个等级漏洞）。

对不同类型的漏洞进行统计，大部分安全漏洞可以通过应用加固方案解决。应用漏洞数量排名前三的类型分别为JAVA代码反编译风险、HTTPS未校验主机名漏洞，及动态注册Receiver风险。

从APP类型来看，实用工具类APP存在的漏洞风险最多，占漏洞APP总量的19%；其次为教育学习类APP，占比12.53%；商务办公类APP位居第三，占比9.01%，漏洞数量排名前10的APP类型如图4所示：

图4 存在漏洞的APP类型TOP10

盗版（仿冒）风险分析

图5 盗版（仿冒）APP类型TOP10

境外传输数据分析

2024年3月22日，中央网络安全和信息化委员会办公室正式发布《促进和规范数据跨境流动规定》，同时发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》以指导企业落实数据出境合规义务，充分体现我国通过加强数据跨境监管，维护国家安全的监管思路。

从全国的Android APP中随机抽取22,935款Android APP进行境外数据传输引擎分析，发现其中2,621款应用存在往境外的IP传输数据的情况，从统计数据来看，发往澳大利亚的最多，占比56.31%；其次是发往美国，占比37.66%。无论是针对移动应用程序自身程序代码的数据外发行为，还是针对第三方SDK的境外数据外发行为，都建议监管部门加强对数据出境行为的监管。数据传输至境外国家占比排行情况如图6所示：

图6 数据传输至境外国家占比TOP10

从APP类型来看，实用工具类APP往境外IP传输数据的情况最多，占境外传输APP总量的18.73%；其次为其他类APP，占比15.26%；教育学习类APP占境外传输数据APP总量的8.74%，位列第三。各类型占比情况如图7所示：

图7 境外传输数据APP各类型占比TOP10

个人隐私违规分析

作为联网才能正常工作的移动应用，采集网络权限、系统权限以及 WiFi 权限是比较正常的，但移动应用是否应该采集用户短信、电话以及位置等“危险权限”，需要根据应用本身的合法业务需求进行分析 。

基于国家《信息安全技术个人信息安全规范》《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求，从全国Android APP中随机抽取22,935款进行合规引擎分析，检测出79.08%的APP涉及隐私违规现象，如违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如图8所示：

图8 个人隐私违规类型占比情况

从APP类型来看，实用工具类APP存在个人隐私违规问题最多，占检测总量的16.05%；其他类APP存在隐私违规问题占检测总量的14.04%，位居第二；教育学习类APP存在隐私违规问题占检测总量的11.32%，位居第三。涉及个人隐私违规APP各类型占比如图9所示：

图9 个人隐私违规APP类型TOP10

第三方SDK风险分析

第三方SDK是由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包，APP开发者、运营者出于开发成本、运行效率考量，普遍在APP开发设计过程中使用第三方软件开发包（SDK）简化开发流程。从全国的Android APP中随机抽取62,995款进行第三方SDK引擎分析，检测出95.56%的应用内置了第三方SDK。如果SDK有安全漏洞，可能导致包含该SDK的应用程序受到攻击。

从APP类型来看，实用工具类APP内置第三方SDK的数量最多，占比18.54%；其次为教育学习类APP，占比12.97%；商务办公类APP位列第三，占比8.8%。内置第三方SDK应用各类型APP占比如图10所示：

图10 内置第三方SDK应用各类型APP占比TOP10

应用加固现状分析

随着移动APP渗透到人们生活的方方面面，黑灰产业也随之壮大，应用若没有防护，则无异于“裸奔”，对APP进行安全加固可有效防止其被逆向分析、反编译、二次打包、恶意篡改等。从全国的Android APP中随机抽取99,808款进行加固引擎检测，检测出已加固的应用仅占应用总量的37.42%。

从应用类型来看，APP加固率排名前三的分别是金融、政务、阅读类APP。不同APP类型加固占比如图11所示：

图11 不同APP类型加固占比

扫码下载

扫描下方二维码即可下载

《2025年Q1移动应用安全风险报告》完整版

据CNNIC第55次统计报告显示，截至2024年12月，我国网民规模突破11亿大关，其中移动端用户占比高达99.7%，形成以11.05亿手机用户为核心的超级数字生态。值得注意的是，使用智能网联汽车、智能家居及个人可穿戴设备上网的比例也在同步提升，其中，车联网终端用户突破1.19亿。昭示着万物智联时代正在加速到来。

数字技术驱动产业变革之际，移动应用作为商业价值的关键载体，在承载用户生产数据与商业资产的同时，面临严峻安全挑战。黑灰产攻击已形成针对应用漏洞的定向突破机制，导致用户隐私泄露、企业核心资产遭恶意利用等系统性风险。

在此趋势背景下，梆梆安全深耕移动应用与物联网安全领域，依托自主研发构建覆盖“防护-检测-监测-响应”的全链路防御体系，通过智能威胁感知与动态防护技术，帮助行业用户有效应对各业务场景中面临的安全挑战。未来，公司将持续探索安全能力与数字基建的深度融合，为推动网络安全新质生产力贡献力量。