6月12日，在2019腾讯安全国际技术峰会上，腾讯安全科恩实验室发布《2018年Android应用安全白皮书》（简称“白皮书”）。白皮书指出，在检测的1404个样本App中，仅23个未检测出安全风险，剩下 1381 个 App 中共发现 37920 个安全问题，占比高达98%。

98%App存在安全问题

有数据显示，截至 2018 年 12 月，我国手机网民规模达 8.17 亿。在智能手机中，基于Android系统的占比超过80%，苹果iOS系统占比19.7%。

值得关注的是，安卓应用安全亟待加强。截至 2018 年第三季度末，G DATA（一家专注于信息安全研究的专业杀毒软件公司）统计数据显示，在安卓系统发现超过 320 万个新的恶意样本，平均每天发现超过11000个新的恶意软件样本。

白皮书显示，此次安卓移动应用检测中，腾讯科恩实验室从影音播放、通讯社交、新闻阅读等14种类型的App中，选取了2018年下载量前100左右的共计1404个App进行分析。

结果显示，存在安全问题的App有1381 个，占比高达98%, 共发现 37920 个安全问题；仅23个未检测出安全风险。

92%App过度收集核心隐私权限

近年来，移动应用违规收集用户信息、因安全问题泄露用户数据的问题被屡屡曝光，引起不少群众的担忧。同时，国家也从法律法规的角度不断推进用户信息保护。

《网络安全法》中明确规定要加强个人信息保护；2019 年 1 月，中央网信办、工信部、公安部、市场监管总局四部委联合发布《关于开展 App 违法违规收集使用个人信息专项治理的公告》，持续加大保护力度，专项治理 App 违法违规收集使用个人信息的行为，探索长效监管机制。

白皮书指出，本次检测中，在 1404 个 App 中共发现 1292 个 App 存在过度收集核心隐私权限的问题。其中，294 款 App 隐私条款内容不达标，998款没有隐私政策。

被过度收集或使用的隐私数据主要包括位置信息、通讯录信息、手机号码等。其中，共计 165 款 App 涉嫌过度收集位置信息。涉嫌过度收集或使用短信、手机号码、身份信息的分别有 113 款、104 款、17 款 App。

比如，某电商 App 在运行过程中收集了位置信息、通讯录信息、身份信息、银行卡号、手机号码、短信等隐私数据，但在隐私政策中并未明确告知应用会收集上述信息，亦没有告知使用这些信息的用途。

隐私条款内容不达标，意味着App在收集用户信息时，未告知收集信息的类型，且收集敏感信息时未明确告知用途。

近半App调用的SDK有漏洞

随着移动应用功能复杂化与交互多样化，App涉及的个人信息可能包括身份信息、健康状况等信息。白皮书指出，App在将这些敏感数据保存在本地时，面临泄露的风险。

比如，当数据存储在外部存储卡等不安全区域时，会引起关键数据泄露。例如，某款音箱应用将网络交互明文记录在日志文件中，并存在外部存储卡中，其中包含的关键数据泄露可致使音箱被远程控制。

白皮书还称，大量App开发商为了增强应用功能、缩短开发周期，会调用第三方库（SDK）。但部分SDK在开发过程中并不注重代码的安全性。

本次检测共分析了市面上数十款主流 SDK。在 1404 款样本 App 中，共有 1038 个 App调用了 2166 次 SDK，其中646 个 App 调用的1047个SDK存在漏洞，占到总数的近一半。

文/南都个人信息保护研究中心研究员 尤一炜