本文提出IoTSpotter框架，旨在从市场层面自动构建移动-IoT应用的快照，即那些作为IoT设备伴侣或自动化提供商的移动应用。研究背景：消费级IoT产品和服务无处不在，但由于缺乏对市场上IoT产品的全面了解，难以准确评估其安全性。核心问题：无法从市场规模的视角理解IoT安全，缺乏对移动-IoT应用的系统性识别和分析方法。方法：IoTSpotter通过分析Google Play上的应用元数据、描述、权限、API调用等特征，自动检测移动-IoT应用，并从中提取与IoT相关的工件，如支持的设备、IoT专用库等。实验：利用IoTSpotter从Google Play中识别出37,783个移动-IoT应用，这是目前最大的移动-IoT应用数据集，并揭示了7个关键结果（ℛ1-ℛ7）。在此基础上进行了三项安全分析，得出10个有影响力的安全发现（F1-F10）：(1) 在超过100万次安装的917个移动-IoT应用中，94.11%（863个）存在严重密码学违规；(2) 65个IoT专用库受79个唯一CVE影响，并被40个流行应用使用；(3) 7,887个应用受Janus漏洞影响。最后，对18个流行移动-IoT应用的案例研究揭示了这些漏洞对重要IoT工件和功能的严重影响，从而推动了针对IoT上下文的移动安全分析的发展。