当前位置:网站首页 > 网络安全培训 > 正文

爱加密发布全国移动应用SDK市场占有率分析报告

freebuffreebuf 2019-05-28 275 0

本文来源:爱加密123



6e75761576fa42feb77b8ba1f027b195.JPG

APP运营者为了拓宽自身的业务范围,提高自身的技术能力;或为了节约开发成本、提高工作效率,通常都会使用多种第三方的SDK。小众化的第三方SDK开发往往侧重于功能性的完善,而在安全性方面投入较少,从而导致APP使用第三方SDK时会发生许多安全问题。

首先,SDK自身安全性令人担忧。目前,有超过60%的SDK含有多种漏洞,且由于SDK被广泛使用到大量的APP中,造成漏洞的影响范围非常大。

其次,SDK普遍存在隐瞒收集用户个人信息的行为。APP对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围,利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息,并向远程服务器甚至境外服务器进行回传。

最后,由于目前SDK市场缺乏监管,安全性很难保证,近期通过第三方SDK隐瞒收集个人信息的安全事件不断被曝光。

爱加密持续关注我国移动应用安全问题,全年不间断通过爱加密强大的爬虫团队从各应用商店、论坛、网盘、企业官方网站获取移动应用数据。对数据清洗和安全检测后获取移动基础资产数据,将基础资产数据存储至移动应用大数据中心,为政府和企业客户提供移动安全报告的数据支撑,协助各级政府和企业对移动应用安全事件进行监测并协调处置,取得了显著成效。

7325e1622e3640edbe7e7528e8d69d59.JPG

本报告依托爱加密移动应用大数据中心数据,重点对SDK使用情况及市场占有率进行分析总结,并结合移动应用安全威胁事件处置的实践成果给出建议和防范措施。

一、SDK概况

根据爱加密大数据中心提供的数据,截止4月底共计收录Android应用数据约267万条,其中超50%的APP都不同程度的使用了第三方公司提供的SDK工具包。目前大数据中心已收录SDK工具包414个,包括广告、框架、推送、统计、地图、支付、社交等类别,详见图1:

b550e09db48546df9f594d5e13b2742f.JPG

图1 SDK类别统计图

二、SDK市场占有率

(一)框架类SDK市场占有率最高

从类型上看,框架类SDK使用范围最广,市场占有率42.98%;其次是广告类,市场占有率12.86%;第三位的是社交类SDK,市场占有率11.60%。详见图2:

8cfaa819caf44c1f935424cd1e4230fe.JPG

图2 各类SDK市场占有率

(二)AdMob广告市场占有率最高

从各个SDK市场占有率来看,AdMob广告市场占有率最高,为17.16%;其次是GSON,占有率为13.44%;排在第三位的是支付宝支付SDK,市场占有率为9.91%。详见图3:

a9b1adfff05d4270bd2362f90bea96d0.JPG

图3 SDK市场占有率统计图

1、AdMod广告市场市场占有率

全国约有46万多款APP嵌入了这个SDK,主要集中在游戏类、生活服务类和工具类软件,合计占比84.09%。详见图4:

26cb5c8314d446b880be774c9d71a3b1.JPG

图4 AdMod广告市场行业市场占有率

2、GSON市场占有率

全国约有36万款APP嵌入了这个SDK,主要集中在游戏类、生活服务类和媒体类,合计占比53.89%。详见图5:

fab22b95022045299d252bc6f68ae943.JPG

图5 GSON行业市场占有率

3、支付宝支付SDK市场占有率

全国约有27万款APP嵌入了这个SDK,主要集中在游戏类、生活服务类和购物类,合计占比65.51%。详见图6:

d7a40eba6c1a4631af70381760b95cc3.JPG

图6 支付宝支付行业市场占有率

4、地 图类 S DK 中百度地图市场占有率位居第一

全国约有17万APP嵌入百度地图SDK,而高德地图SDK仅有7.9万APP嵌入了这个SDK。从这个方面来看,百度地图的市场占有率还是遥遥领先于高德地图的。详见图7:

13f96ec6e137465e833662b18724a5f7.JPG

图7 地图类SDK市场占有率

三、谨防成为SDK窃取隐私的保护伞

3月13日,世界级安全公司Check Point披露报告称,某科技公司涉嫌盗窃用户数据。报告指出,电池医生、Wi-Fi信号增强器等12款中国APP存在盗取用户通讯录数据的情况,而上述部分APP直接或间接从属于该公司。报告显示,被曝光APP迄今下载量已经超过1.11亿次,可见波及范围之广。

以上述被披露的公司为例,在下载软件的权限设置中,程序需要读取讯息、读取通讯录、发送短信、修改/删除内部媒体储存设备的内容等。且在读取用户内容后,该公司并未向用户明示,收集使用信息的目的、方式和范围。详见图8:

5a3d22c04c9b4240b6ec0de27e299959.JPG

图8 获取权限截图

四、APP安全问题至关重要

2017年6月1日正式施行《中华人民共和国网络安全法》,其中第41条至43条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息,应当遵循相关的法律法规,并经被收集者同意,不得向他人提供个人信息。此外,网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息;网络运营者应当采取安全措施,确保其收集的个人信息安全。

然而实际操作中,由于取证难、执法难。存在大量APP开发企业无视法律法规,在用户使用时根本不提供隐私条款,部分APP即使有隐私条款,也是和实际采集的用户信息不匹配。大量APP存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量APP在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。

30247eec0f324497b7ae13bd180843dd.JPG

此外需引起关注的是,除被曝光的信息安全事件之外,还有较多的SDK仍存在隐蔽窃取用户信息的行为。因此作为APP开发企业,除了提高安全意识、规范自身行为以外,还应对自己所提供的APP负责,避免因SDK的恶意行为而受到牵连,避免不法分子利用自己的APP做保护套,干着违法的勾当。

从近期Android端恶意应用的作恶手法来看,恶意开发者更多地向Android应用供应链的上游转移,从直接开发APP应用转向开发SDK。通过提供恶意的SDK给应用开发者,导致给用户造成更为广泛的危害和损失。因此SDK的安全问题将成为今年乃至今后很长一段时间,政府相关部门及爱加密护航移动应用安全的首要任务。

qrcode_for_gh_0e28cef7681c_258.jpg


转载请注明来自网盾网络安全培训,本文标题:《爱加密发布全国移动应用SDK市场占有率分析报告》

标签:移动应用安全

猜你喜欢

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表

战略合作伙伴

网盾科技

Powered by www.plaaso.com

咨询热线:18696195380,18672920250 (微信同号)   商务合作:13260607300 QQ:3329043 QQ群:594653844

鄂ICP备2023003462号-13 ©2020-2028 plaaso.com 网盾安全培训