健康医疗行业移动APP安全观测报告.docx

三、健康医疗行业App的安全风险分析7

（一）安全漏洞风险居高7

（二）恶意程序危害严重8

（三）第三方SDK引入风险11

（四）安全加固比例偏低14

四、健康医疗行业App的安全工作思路16

附录A健康医疗行业App地域分布表18

附录B存在恶意程序的App详情19

附录CApp恶意程序类型解释24

一、健康医疗行业App观测背景

（一）移动应用安全的政策背景

自十八大以来，党中央和国务院高度重视网络安全。习近平总书记指出，没有网络安全就没有国家安全，将网络安全提升到国家战略高度。随着移动互联网的快速发展，移动互联网安全在整体网络安全中的重要性愈加突出，而移动互联网安全的重中之重就是移动App的网络安全。

2019年1月25日，中央网信办、工业和信息化部、公安部、市场监督总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，成立App专项治理工作组在全国范围内组织开展App违法违规收集使用个人信息专项治理行动。3月1日，App专项治理工作组发布了《App违法违规收集使用个人信息自评估指南》

（二）健康医疗行业App的安全现状

商交换获得的移动互联网恶意程序样本数量已达到282.97万个，同

比增长11.7%。由此可见，健康医疗行业App面临的网络安全形势日趋严峻，App网络安全管理亟待加强。

二、健康医疗行业App观测结果

（一）观测对象分布情况

截止2019年10月1日，报告团队从106个安卓应用市场共收录了8350款健康医疗类App作为观测对象。

从观测对象的地域分布来看，有8181款App能明确归属省份，覆盖了全国除港、澳以外所有的32个省级行政区（健康医疗行业App地域分布参加附录A），平均每个省级行政区生成健康医疗行业App约255.7款。健康医疗行业App生成地域分布不均，如图1所示，北京、广东的产量破千，而西藏、青海等省份产量仅为个位数。

图1健康医疗行业App地域分布情况

同时，研究团队将本次观测的健康医疗行业App进行了分类，主要包含互联网医疗类、医疗机构类、健康管理类、运动健身类、医美

类、药品器械类、母婴类等类别。

互联网医疗类：主要是互联网公司与传统医疗信息服务融合的

App，提供各类线上医疗服务，如平安好医生等。

医疗机构类：主要是各类医院的官方App，提供医院信息展示和各类便民服务，如北京协和医院官方App等。

从观测对象的类型分布来看，互联网医疗类App以30.38%的高占比排名第一。其次是医疗机构类App，占比24.44%。排名第三的是健康管理类App，占比17.10%。其他App集中在健康医疗行业核心的几个垂直子行业，包括运动健身类、医美类、药品器械类和母婴类

等App总占比约为30%。具体数据如图2所示。

母婴,432,5.17%

药品器械,557,6.67%

医美,645,7.72%

运动健身,710,

8.50%

健康管理,1428,

17.10%

互联网医疗,2537,

30.38%

医疗机构,2041,

24.44%

图2健康医疗行业App分类分布情况

（二）观测对象风险集中表现

以仿冒App为代表的高危漏洞风险

在本次观测中，发现有88.83%的健康医疗行业App存在高危漏

洞，攻击者可利用这些漏洞进行App仿冒、植入恶意程序、窃取用户敏感信息、攻击服务等，对App安全具有严重威胁。其中存在被仿冒安全风险的App占比最高，约为72.91%。

以流氓行为代表的恶意程序感染风险

本次观测发现，共有72款健康医疗行业App被检测出恶意程序，感染率为0.86%，主要涉及的恶意行为包括流氓行为、资费消耗、信息窃取、远程控制、恶意扣费等多种恶意行为，给App用户的个人隐私及财产安全带来危害。其中受到流氓行为恶意程序感染的App占比最多，约为79.17%。

使用第三方SDK引入安全风险

本次观测发现，共有25.58%的健康医疗行业App被嵌入了第三方SDK，嵌入的SDK数量共计高达5282个。在嵌入SDK的健康医疗行业App中，有40%的App嵌入了5个及以上的SDK。由于第三方SDK存在用户信息隐蔽收集、自身安全漏洞易被不法分子利用等安全风险，使得健康医疗行业App也面临一定的安全隐患。

安全加固不足暴露安全风险

本次观测发现，仅有24.83%的健康医疗行业App进行了安全加固，超过四分之三的健康医疗行业App在应用市场“裸奔”，未进行任何的安全加固。然而，基于Java语言编写的安卓应用程序如不进行加固，则其打包的APK文件很容易被反编译工具进行逆向分析，进而暴露风险。

三、健康医疗行业App的安全风险分析

（一）安全漏洞风险居高

报告团队对8350款健康医疗行业App进行扫描，共计检测出160761条漏洞记录，涉及56种漏洞类型，其中有19种为高危漏洞。健康医疗行业App中，91.19%存在不同程度的安全漏洞，88.83%存在高危漏洞。平均每款健康医疗行业App存在19.2个安全漏洞，其中6.8个为高危漏洞。具体数据如图3所示。

高危漏洞,88.83%

中危漏洞,91.16%

低危漏洞,91.14%

图3健康医疗行业App各等级漏洞情况

从App分类角度来看，医疗机构类App的高危漏洞问题最为突出，比例达到92.50%。药品器械类和医美类两类App高危漏洞比例也超过行业平均水平。具体数据如图4所示。

94.00

92.00

90.00

88.00

86.00

84.00

92.50

2500

90.31

89.30

88.17

86.91

85.65

86.76

2000

1500

1000

500

82.00

0

互联网医疗医疗机构健康管理运动健身医美药品器械母婴

高危漏洞比例高危漏洞App数量

图4健康医疗行业各分类App高危漏洞情况

横向对比整个App市场，健康医疗行业App漏洞安全问题较为严重。对各行业存在漏洞的App进行占比分析发现，健康医疗行业高居首位，存在漏洞App占比91.19%。各行业存在漏洞App在该行业

App中的占比情况如图5所示。

95.00%

80.09%

75.31%75.51%75.83%76.03%76.07%

74.34%74.66%

71.84%72.18%73.42%

90.00%

85.00%

80.00%

75.00%

70.00%

65.00%

60.00%

91.19%

图5全国各行业存在漏洞App在该行业App占比分布

（二）恶意程序危害严重

经报告团队使用的恶意程序检测系统检测发现，共有72款健康医疗行业App被检测出含有恶意程序（感染恶意程序的App详情参

终端支付，直接导致用户经济损失。具体数据如图6所示。

43.06%

11.11%

1.39%

6079.17%

50

40

30

20

10

流氓行为资费消耗信息窃取远程控制恶意扣费

50.00%

40.00%

30.00%

20.00%

10.00%

0.00%

图6App恶意程序类型分布情况（一款App可能存在多种恶意程序）

从地域分布来看，除3款归属省份不明的App之外，其余69款受到恶意程序感染的App分布在全国18个省份。其中，北京受到恶意程序感染的App数量最多，占全部受到恶意程序感染的App总数的15.28%；山东其次，有13.89%的受到恶意程序感染的App。受到恶意程序感染的App的地域分布情况如图7所示。

图7受到恶意程序感染的App地域分布

从App的分类角度来看，受到恶意程序感染的App数量前三的类别分别为健康管理类、医疗机构类、互联网医疗类App，分别有23款、13款、12款应用已经受到恶意程序感染。而从各个分类受到恶意程序感染的App比例来看，母婴类和健康管理类App受到恶意程序感染比例较高，风险相对突出。具体数据如图8所示。

2.5025

23

2.08

1.61

13

12

0.64

0.70

0.78

9

0.47

5

0.90

2.0020

1.5015

1.0010

0.505

0.000

感染病毒比例感染病毒App数量

图8受到恶意程序感染的App在各分类的占比及具体数量

（三）第三方SDK引入风险

围的恶意程序传播和感染，且此类恶意程序具有很强的隐蔽性和对抗

杀毒软件的能力。SDK作为独立的软件开发工具包，具有收集个人信息的能力，但SDK收集哪些个人信息，用户往往难以感知，甚至App开发者也未必知晓，给用户个人信息安全带来严重威胁。

报告团队监测发现，有2136款健康医疗行业App嵌入了第三方SDK，占全部健康医疗行业App的25.58%。这些App共嵌入5282个第三方SDK，平均每款App嵌入2.5个。健康医疗行业App第三方SDK使用情况如图9所示。

嵌入5-9个SDK嵌入10个及以上SDK

嵌入1-4个SDK21.58%

未嵌入SDK74.42

图9健康医疗行业App第三方SDK使用情况

全行业平均有19.92%的App嵌入第三方SDK，而健康医疗行业App嵌入第三方SDK比例为25.58%，高于全行业平均水平，在12个行业中排行第5名。具体数据如图10所示。

社交通讯,24.73%

医疗健康,25.58%

旅游交通,28.60%

生活服务,29.31%

网络视听,24.14%

办公商务,33.09%

教育,20.69%

%

文化传媒,18.62

金融,35.00%

游戏,14.48%

工具软件,7.24%其他，3.78%

图10各行业SDK嵌入情况

60.00

50.00

40.00

47.7542.98

30.00

20.00

10.00

0.57

1.86

6.5

8

16.83

19.75

1

0.00

12.8611.6

12.19

10.689.3

0.000.521.06

全行业健康医疗

图11全行业和健康医疗行业App使用的各类SDK分布对比

（四）安全加固比例偏低

基于Java编写的安卓App容易被破解暴露App源代码，进而带来App盗版、二次打包、注入等安全问题。“安全加固”是维护App安全的重要防护手段，它能够有效阻止对App的反汇编分析。经过安全加固的App，不仅其系统稳定性得到提升，还拥有能力规避一定程度的安全风险。健康医疗行业App加固比例仅为24.83%，仍有超过四分之三的App未进行过安全加固。

App加固集中在主流服务商

经检测，共有2073款健康医疗行业App至少进行过一次安全加固，移动安全加固厂家一般选择奇虎360、腾讯、阿里、百度、爱加密等7家安全服务商。其中，60.25%的App使用了奇虎360加固平台，30.82%的App使用了腾讯加固平台，具体数据如图12所示。

360加固腾讯加固阿里加固百度加固爱加密加固梆梆加固网易云加固

1249

60.25%

30.82%

62

2.99%

53

2.56%

49

2.36%

0.96%

0.05%

639

02004006008001,0001,2001,400

图12不同加固厂家服务的App数量及占比

各省份App开发者加固意识普遍薄弱

从加固App地域分布来看，除台湾、西藏之外的其他省份均有App进行安全加固。其中北京加固的App数量最多，共有476款，加固占比达26.31%。四川、福建、陕西、上海、湖北5省加固的App比例也超过行业均值24.83%。但各省份加固App比例均不超过35%，可见各省份App开发者安全加固意识普遍不高。具体数据如图13所示。

35.00

25.00

15.00

5.00

北京

广东

上海

浙江

福建

山东

湖北

江苏

四川

陕西

加固APP省份占比

26.31

23.44

25.22

23.85

28.70

21.12

24.94

23.83

31.56

26.29

加固APP数量

476

278

199

177

128

117

108

92

83

61

图13加固App数量前十省份

450

400

350

300

250

200

150

100

四、健康医疗行业App的安全工作思路

作为App服务提供者，首先应明确业务需求，详细界定App操作边界，不盲目开发，充分注重App开发后的维护和升级其次；其次，应提高其开发人员安全意识，建立健全App开发的安全管理机制，合理合规使用第三方SDK，避免过度收集用户权限和隐私信息；最后，应积极做好App安全防御措施，主动进行App安全检测和安全加固，及时修补安全漏洞，推动安全升级，防止App因漏洞问题被

仿冒、攻击以及感染恶意程序等。

作为App用户，为了保护自身权益和规避网络安全事件，应尽量做到以下几点：一是从正规应用市场下载App，不随意点开不明下载链接；二是采用高强度口令，定期更换口令，避免口令重复；三是定期检测并及时使用安全软件修补漏洞，及时对系统和App进行更新升级；四是提高自身隐私安全意识，避免注册过多App和暴露过多个人隐私信息。