2021年4月17日，由OWASP中國舉辦的“智移動 * 新安全-2021移動應用安全論壇“圓滿結束，論壇上，通付盾作為受邀嘉賓，重磅發布《通付盾行業灰應用態勢感知季報(2021Q1)》(以下簡稱‘季報‘)，與此同時，通付盾移動安全合規專家圍繞“灰應用檢測”為核心，向參會來賓們詳細解析灰應用的特征及如何利用相關技術挖掘與分析此類應用。

以下是《季報》核心要點。

灰應用調查總體背景情況

依托通付盾先進的決策引擎技術替代人工檢測，通付盾灰應用檢測平臺針對各大應用市場熱門排行榜上共計3450款應用進行了重點批量檢測，在此基礎上，通付盾北斗團隊分別從用戶信息收集合規性及內容合規性檢測兩大檢測維度，針對主要權限申請情況、動態權限調用情況、用戶信息收集情況、應用類型分布、應用形態、應用傳播方式、市場特點等進行了重點安全合規分析。

1)權限申請情況分析

通過分析上述3450款應用權限申請檢測結果后發現，共申請權限總類達5770種，其中約67種敏感權限，自定義權限達4080種;對申請的67種敏感權限進行統計發現，讀取外部權限、讀取電話狀態的申請頻次最高，分別有94%，93%的應用申請了該權限，其次是使用相機和定位的權限申請，均在80%以上。

圖1 各類權限申請情況統計

2)動態權限調用情況分析

通過對這3450款應用進行動態權限合規檢測后，發現應用調用次數最高的分別是讀取通話狀態，讀寫外部存儲和獲取位置信息三類權限。

圖2 各類權限調用情況統計

3)用戶信息收集情況分析

針對獲取地理位置和獲取手機狀態兩項權限的單獨分析發現，共有2150款應用申請了獲取地理權限，這些應用根據應用類型劃分，申請最多的是電子圖書和工具管理類應用，其次是網絡支付、新聞資訊等。根據《規定》，僅地圖導航、網絡約車、餐飲外送、郵件快件寄遞、服務旅游、用車服務類可以申請地理位置權限。這類權限違規情況極為嚴重。

圖3 各類應用地理位置權限申請情況統計

此外，共有95款應用申請了獲取手機號碼權限，這些應用按類型劃分后主要集中在地圖導航、網絡支付、電子圖書、網絡社區和短視頻中。根據《規定》，電子圖書、短視頻、安全管理等無須個人信息。

圖4各類應用申請獲取收集好嗎權限情況統計

4)內容違規類應用檢測結果分析

通過上述3450款應用檢測結果的匯總及分析，共發現疑似內容違規數據2360條，疑似存在違規問題的應用448款，將這448款應用按內容違規的類別劃分，疑似涉黃類124款，疑似非法廣告類225款，疑似暴恐類2款，疑似違禁類29款，疑似涉政類98款，疑似惡心類0款。季報對每一類應用類型進行了典型案例分析，并對它們的傳播方式、分布市場特點等進行了針對分析。

圖5 違規問題應用分布圖

最后，通付盾北斗團隊專家對灰應用監測情況作了總結，通過對灰應用內容違規情況和超權用戶信息收集情況的分析，安全專家發現，內容違規應用市場占有率低，但是檢測難度大，危害性廣，這不僅需要市場部門的大力監管，更需要先進的檢測技術發現這類違規應用;存在超權用戶信息收集的應用市場分布較廣，需要加大力度進行統一整治管理。

灰應用存在在特定區域及時間發生內容違規、功能違規、竊取用戶信息、攜帶惡意病毒等問題，灰應用在傳播方式、生存方式上具有很強的隱蔽性，給用戶的隱私保護帶來了更多的挑戰，給用戶的身心健康及生命財產安全也帶來了極大威脅。

隨著國家對移動應用市場的監管力度不斷加強，灰應用檢測必將受到越來越多的關注。通付盾北斗團隊將不斷深入灰應用檢測的技術升級與檢測模式創新，為建設健康和諧的移動應用市場貢獻一份力量。

關于通付盾灰應用檢測平臺：

通付盾灰應用檢測平臺是一款面向移動應用開發者、監管單位、測評機構、應用市場等推出的移動應用安全合規檢測平臺，結合相關國家標準和金融、通信等細分領域行業標準，利用符號執行、動態沙箱、動靜結合檢測引擎等技術手段，提供高可用、高性能、高安全的自動化移動應用安全合規檢測服務，精準識別移動應用中存在的安全漏洞、惡意代碼、違規信息采集行為、違規內容，給出安全合規整改建議，幫助提高移動應用的安全性與合規性。

關于通付盾北斗團隊：

通付盾北斗團隊(負責安全合規產品)于2013年成立，8年來專注于移動應用全生命周期的安全研究，積累了豐富的移動應用安全實戰經驗，不斷保持技術研發與創新，致力于為企業提供移動應用全生命周期安全工程解決方案。自研了符號執行、動態沙箱、大數據分析、VMP虛擬機保護、iPA動態殼保護等多個核心技術。團隊所研發產品已服務于上千家各行業客戶，深入到政府、軍工、能源、金融、運營商、教育、醫療、傳媒、交通、互聯網等行業，為數十億級移動終端提供了移動應用安全保障。其中移動應用安全合規檢測成功服務國測、軍測、公安和工信部，實現國家級測評機構全覆蓋。