Aggregator

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（1123-1206）

●最新监管动态

监管通报动态

●监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP各类型占比分析 

01 最新监管动态

1. 监管通报动态

11月28日，宁夏通管局依据相关法律法规，持续开展APP（小程序）个人信息保护和网络数据安全治理。9月8日抽测发现区内12款APP（小程序）存在侵害用户权益问题。截至目前，尚有8款小程序未整改，宁夏通管局现予以通报。9月5日，宁夏通管局通报了5款存在侵害用户权益行为的小程序并要求整改，截至目前，尚有3款小程序未完成整改，宁夏通管局现予以全网下架处置。

11月28日，山东通管局依据相关法律法规的要求，深入开展APP侵害用户权益专项整治工作，截至目前，有3款存在问题通知限期整改的APP未按要求在限期内完成整改反馈，山东通管局现予以通报。截至目前，有4款存在问题的APP经书面要求整改、通报再次要求整改后，仍未在规定时限内完成整改反馈，山东通管局现予以下架。

12月01日，四川和重庆通管局依据相关法律法规的要求，持续开展移动应用程序专项治理工作，截至目前，仍有4款APP/小程序未按要求完成整改，上述APP应限期完成整改，逾期不整改的，四川和重庆通管局将依法依规进行处置。

12月02日，北京通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前，尚有2款移动互联网应用程序未整改，北京通管局现予以公开通报。上期（25年第十期）通报的移动互联网应用程序，截至目前，仍有5款移动互联网应用程序未整改，北京通管局现予以全网下架处置。

12月04日，病毒处理中心依据相关法律法规，检测发现69款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的70款违法违规移动应用，经复测仍有26款存在问题，相关移动应用分发平台已予以下架。

12月09日，工信部依据相关法律法规，对APP、SDK违法违规收集使用个人信息等问题开展治理。经抽查，共发现24款APP及SDK存在侵害用户权益行为，工信部现予以通报。

02 监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP3问题数据两方面来说明。

1) 问题行业TOP3：

医疗服务类

网上购物类

本地生活类

2) 隐私合规问题TOP3：

TOP1：认定方法 2-1 未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

TOP2：；认定方法3-1 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限

TOP3：认定方法 2-3 在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账户、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

03 漏洞风险分析

从全国的Android APP中随机抽取了932款进行漏洞检测发现，存在中高危漏洞威胁的APP为735个，即78.86%以上的APP存在中高危漏洞风险。而这735款漏洞应用中，有高危漏洞的应用共536款，占比72.93%，有中危漏洞的应用共712款，占比96.87%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下：

各漏洞类型占比分析

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP各类型占比分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的21.04%，其次为教育学习类APP，占比10.65%，影音视听类APP位居第三，占比10.39%，漏洞数量排名前十的类型如下图所示：

行业实践

中国教育信息化市场2024年规模达6464亿元，某教育行业头部企业作为数字教育与文化服务的重要参与者，专注于数字资源加工、教育信息化平台建设及移动应用开发。其核心产品“智能移动学习软件”已覆盖全国95%的高校及大量公共文化机构，广泛应用于教学管理与在线学习等多种场景。为应对在线考试场景中的作弊风险，该客户提出构建一套技术监测与处置体系，以保障考试过程的公平性与严肃性。

在线考试系统面临多重安全挑战与风险，主要包括：

各类运行时攻击，如利用模拟器、云手机、多开器等工具进行的作弊行为，以及通过应用破解、调试、注入等技术手段对考试过程进行干扰与篡改；

运行环境风险，包括Root/越狱设备、高风险进程、攻击框架软件等可能为作弊提供条件的安全隐患；

缺乏实时干预能力，传统监控方式难以及时识别并阻断作弊行为，导致作弊证据留存不足、处置滞后。

为此，客户需要一套与业务场景深度融合的主动防护方案，能够实时监测考试过程中的异常行为与环境风险，精准识别作弊迹象，并在确认风险后快速响应与处置，从而构建可信、公正的在线考试环境。

一 项目实施

为应对客户在考试安全方面的迫切需求，本项目通过部署一套移动安全监测平台，构建覆盖“采集‑分析‑处置”全流程的技术防线。该平台具备设备环境数据采集、风险特征识别、关联分析及实时响应等功能，能够及时识别并阻断如“模拟器作弊”“云手机代考”等作弊行为，同时完整记录并上报作弊证据，形成处置闭环。

核心产品

该移动安全监测平台通过在移动应用中嵌入轻量级威胁感知探针，实时采集设备、系统、应用及行为四个维度的数据，结合后端大数据分析平台的多维模型与规则引擎，实现对各类运行时攻击的实时监测与溯源。平台支持定位溯源攻击设备、分析攻击路径与手段，并可通过预置的安全策略实现快速自动处置。同时，平台提供丰富的威胁数据查询与推送接口，便于与企业既有系统对接，提升整体安全运营效率。

系统架构

整体架构分层设计，适配Android与iOS两大移动应用系统。采集层负责各类风险数据的获取；存储层通过多类型数据库实现数据的高效落地与存储；分析层依托多种引擎进行实时数据风险研判；服务层则面向管理人员提供综合态势展示、策略配置等。

本项目为客户提供移动应用安全监测SDK探针，支持快速集成至其自有APP中，仅需依照标准集成文档进行配置即可完成部署。客户可同步开通SaaS服务，获得专属的安全监测平台管理账号，通过PC端浏览器访问平台，能够实时查看应用运行中的各类安全风险详情，灵活配置防护策略，并随时导出安全分析报告等。

实施内容

1. 监测平台探针集成：在客户考试类APP中嵌入安全监测探针，实现对设备运行环境的实时数据采集。

2. 业务场景化限定：监测功能严格限定在考试时段及考试相关界面启动，避免对用户日常使用造成干扰，节约系统资源。

3. 作弊行为识别：探针基于虚拟化环境特征检测（如模拟器、云手机、越狱、设备指纹伪造等），实时判别异常考试环境，触发安全事件。

4. 实时阻断与提醒：一旦识别到作弊风险，系统可根据策略向考生端发出实时弹窗警告，并可强制终止考试进程，防止作弊行为完成。

二 项目价值

本项目通过“场景化监测+精准识别+实时阻断”的技术闭环，为客户构建了针对“虚拟作弊”场景的立体防护体系，其核心价值体现在以下三个方面：

（一）运行时攻击实时监测

平台能够实时识别在应用运行过程中发起的各类直接攻击，如应用破解、多开、篡改、位置欺诈、注入攻击、外挂程序等。这些手段常被用于刷分、代考、伪造签到等作弊场景，平台可实时发现并告警，协助客户及时应对。

（二）运行环境风险实时感知

持续监测应用运行所依赖的设备环境状态，包括系统Root/越狱状态、模拟器或云手机环境、高危进程、恶意框架软件等。即使未发生直接攻击，这些风险状态的存在也为作弊提供了可能，平台可提前预警，助力客户实现风险前置管理。

（三）风险设备与用户实时处置

支持基于策略对识别出的高危设备或用户进行一键封禁、会话终止等操作。管理员可根据业务需要自定义处置规则，实现快速响应，有效阻止作弊行为造成实质性影响，保障考试公平。

在教育行业全面迈向智慧化、线上线下深度融合的背景下，移动学习平台与在线考试系统的安全、稳定与合规性，已成为保障教学公平、维护学生隐私、筑牢数字化教育信任体系的重要支柱。梆梆安全将深度结合教育行业特性和业务场景，依托体系化的安全中台与成熟的行业服务经验，为各类教育机构及平台提供覆盖应用全生命周期的移动安全防护方案，助力构建可信、可靠、可持续的智慧学习环境，推动教育数字化在安全基石上行稳致远。