重磅發布！阿里聚安全 2016 年報-應用安全不容樂觀

《阿里聚安全2016年報》重磅發布，本報告重點聚焦在2016年阿里聚安全所關注的移動安全及數據風控上呈現出來的安全風險，在移動安全方面重點分析了病毒、仿冒、漏洞三部分，幫助用戶了解業務安全端安全方面應該注意的風險，之後會描述阿里聚安全在業務安全防控方面做的一些努力和觀點，幫助企業在建設互聯網業務安全時，考慮安全策略和防護應該往哪部分傾斜。

Android平台約10台設備中就有1台染毒，設備感染率達10%

2016年度，Android平台約10台設備中就有1台染毒，設備感染率達10%，阿里聚安全病毒掃描引擎共查殺病毒1.2億，病毒木馬的查殺幫助用戶抵禦了大量的潛在風險。

每天新增近9000個新移動病毒樣本，每10秒生成1個

阿里聚安全移動病毒樣本庫2016年新增病毒樣本達3284524個，平均每天新增9000個樣本，這相當於每10秒生成一個病毒樣本。我們也看到在9月份後病毒樣本有比較明顯的增加趨勢。雖然原生Android系統的安全性越來越高，但移動病毒利用多種手法如重打包知名應用、偽裝成生活類、色情類應用等傳播，在每天新增如此多病毒的惡意環境下，Android用戶必須時刻警惕在官方場合下載應用。

2016年，我們發現「惡意扣費」類在病毒樣本量佔比最高，達72%。該類病毒應用未經用戶允許私自發送簡訊和扣費指令，對用戶手機的資費造成一定風險，而在客戶端檢測到樣本的「流氓行為」佔比最高，「惡意扣費」其次。

對比客戶端病毒樣本和樣本庫類型，雖然「惡意扣費」的樣本數非常龐大，但在客戶端感染的數量已經成反比，這是因為國家著重針對影響範圍大、安全風險較高的移動互聯網惡意程序進行專項治理，「惡意扣費」類惡意程序治理效果顯著，而「流氓行為」、「隱私竊取」、「簡訊劫持」及「誘騙欺詐」類病毒還是以較少的樣本數佔領了大多數客戶端，尤其是黑產用於詐騙的「簡訊劫持」和「誘騙欺詐」 病毒基本是以1：10的比率影響用戶端。此外干擾用戶正常使用軟體，影響用戶體驗，隨意添加廣告書籤、廣告快捷方式或鎖屏等行為的「流氓行為」類病毒也佔據大量用戶客戶端，此類病毒一般用於惡意廣告推廣為主。

89%的熱門應用存在仿冒

從16個行業分類分別選取了15個熱門應用，共240個應用進行仿冒分析，發現89%的熱門應用存在仿冒，總仿冒量高達12859個，平均每個應用的仿冒量達54個，總感染設備量達2374萬台。3月份的仿冒應用量大幅下降，符合黑灰產在春節假期前後的活動較少的規律。

金融行業銀行類仿冒居多,某銀行仿冒應用全部具有簡訊劫持行為

金融行業選取銀行、錢包和理財3個子分類,分別選取10個熱門應用進行分析,共發現仿冒應用407個。銀行類仿冒應用佔53%,錢包類 仿冒應用佔36%,理財類仿冒應用佔11%。

2016年金融行業仿冒應用分布情況

在本次分析中,某銀行共發現30個仿冒應用,全部具有簡訊劫持行為,感染設備量為33863台,感染用戶主要分布在廣東、北京和江蘇等 省份。

阿里聚安全移動安全掃描器創新迭代快速，幫助企業提高前置安全感知能力

阿里聚安全移動安全掃描器2016 年全年成功提供的掃描服務305909 次， 平均每天提供的服務838次， 檢測漏洞數量達17698883個，全年所有掃描的App中有殼的App佔比16.54%，產品迭代發布次數21次，新增規則16條。其中啟發式規則掃描可檢測外部可控數據對應用內部邏輯的影響， 掃描器能夠根據socket、網路、intent傳入的數據，進行各種判斷，進而判斷是否存在可以被惡意用戶使用的漏洞，涵蓋了網路釣魚、外部操作系統文件、命令執行、反射操作、啟動私有組件（ activity 、service等）等各種類型的漏洞。此外，新增的拒絕服務掃描規則還可支持掃描動態註冊的組件是否能夠引起拒絕服務漏洞。

18個行業的Top10應用中98%的應用都存在漏洞，但Webview遠程執行代碼漏洞迅速下降

為分析移動應用各行業的漏洞情況，我們在第三方應用市場分別下載了18個行業的Top10應用共計180個，使用阿里聚安全漏洞掃描引擎對這批樣本進行漏洞掃描。18個行業的Top10應用中，98%的應用都有漏洞，總漏洞量14798個，平均每個應用有82個漏洞。旅遊、遊戲、影音、社交類產品漏洞數量靠前。但是高危漏洞佔比最高的依次是辦公類、工具類、遊戲類和金融類。企業在移動數據化進程過程中更需注意員工在使用這些行業APP時的安全威脅。

其中漏洞類型主要集成中「拒絕服務」、「Webview明文存儲密碼」、「密鑰硬編碼風險」及「AES/DES弱加密風險」中，「密鑰硬編碼風險」和「AES/DES弱加密風險」 漏洞會讓基於密碼學的信息安全基礎瓦解，因為常用的密碼學演算法都是公開的，加密內容的保密依靠的是密鑰的保密，密鑰如果泄露，對於對稱密碼演算法，根據用到的密鑰演算法和加密後的密文，很容易得到加密前的明文；對於非對稱密碼演算法或者簽名演算法，根據密鑰和要加密的明文，很容易獲得計算出簽名值，從而偽造簽名。

這裡建議企業用戶在開發App過程中，通過阿里聚安全的漏洞掃描來檢測應用是否具有密鑰硬編碼風險，使用阿里聚安全的安全組件中的安全加密功能保護開發者密鑰與加密演算法實現，保證密鑰的安全性，實現安全的加解密操作及安全簽名功能。

最複雜老道的iOS APT攻擊出現

PEGASUS——三叉戟攻擊鏈 是在對阿聯酋的一位人權活動家進行APT攻擊的時候被發現。整個攻擊鏈由三個漏洞組成:JS遠程代碼執行(CVE-2016- 4657),內核信息泄露(CVE-2016-4655),內核UAF代碼執行(CVE-2016-4656)。

利用該攻擊鏈可以做到iOS上的遠程完美越獄,完全竊取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等應用的敏感信息。PEGASUS可以說是近幾年來影響最大iOS漏洞之一,也是我們認為最複雜和穩定的針 對移動設備APT攻擊,可以認為是移動設備攻擊里程碑。利用移動設備集長連接的Wi-Fi,3G/4G,語音通信,攝像頭,Email,即時消 息,GPS,密碼,聯繫人與一身的特性,針對移動設備的APT攻擊會越來越多。

羊毛黨、黃牛黨在2016年成為互聯網業務發展過程中最大的毒瘤

2016年在各種互聯網業務活動中，羊毛黨、黃牛黨繼續盛行，各種沒有安全防控的紅包/優惠券促銷活動，會被羊毛黨以機器/小號等各種手段搶到手，基本70%~80%的促銷優惠會被羊毛黨薅走，導致商家和平台的促銷優惠最終進入了羊毛黨的口袋。黃牛黨能夠利用機器下單、人肉搶單，將大優惠讓利產品瞬間搶到手，然後高價格售出賺取差價。大規模的批量機器下單，還會對網站的流量帶來壓力，產生類似DDOS攻擊，甚至能夠造成網站癱瘓。此外使用簡單維度的密碼驗證手法已經演變成使用複雜機器人猜測密碼的技術，來逃避簡單的策略防禦。企業需要更多維度、指標，使用更複雜的規則、模型進行防禦。

人機對抗-滑動驗證碼作為對抗黑產的重要手段

滑動驗證碼作為對抗人機黑產的重要手段，對篩查出來的「灰黑用戶」需要進一步精細判斷。進化的滑動驗證碼已經不再基於知識進行人機判斷，而是基於人類固有的生物特徵以及操作的環境信息綜合決策，來判斷是人類還是機器。並且不會打斷用戶操作，進而提供更好的用戶體驗。驗證碼系統在對抗過程中，感知到風險，需要企業實時切換混淆和加密演算法，極大提高黑產進行破解的成本。

阿里聚安全的人機識別系統，介面調用是億級別，而誤識別的數量只有個位數。除了誤識別，我們的技術難點還在於如何找出漏報。一般情況下，會對整體用戶流量的「大盤」進行監控，一旦監測到註冊或登錄流量異常，我們的安全攻防技術專家就會緊急響應。這種響應速度是小時級別的。

另外黑產通過刷庫撞庫也體現出業務時序的不同而不同。以2016年Q4為例，在雙十一之前，黑產主要精力用於各平台的活動作弊，而過了雙十一，刷庫撞庫風險就開始持續走高，穩定佔據了所有風險的一半以上。

2016年移動欺詐損失超數億美金

目前移動應用通過資源換量、搜索平台、廣告網路及代理商、直接推廣及自然安裝等渠道來推廣和互動。但推廣者發現投入的費用反映的 推廣數據良好,但是沉澱到真是用戶卻表現非常不樂觀。大量的渠道欺詐使得移動應用推廣者損失巨大,根據某平台分析,2016年移動欺 詐金額已經超數億美金。

常用移動欺詐通過機刷、模擬器、改機工具等手段作弊,如通過一鍵生成改機軟體修改手機硬體參數IMEI、MAC、藍牙地址等,偽造新手 機多次安裝激活App;通過腳本批量操作各種安卓模擬器如天天模擬器、海馬玩模擬器、夜神模擬器等,反覆進行機刷-App安裝-App激 活等操作。阿里聚安全使用穩定的設備指紋技術 + 大數據分析,能準備識別各種作弊手段和作弊設備。為用戶節約推廣成本、時間成本、 開發成本,保障推廣者獲取真實的用戶數據為業務服務。

創造縱深的有適應力的數字化業務系統

互聯網+或者企業在面對互聯網業務發展過程中的安全威脅時，實施數字化業務系統適應力所需的實踐，對傳統公司具有極大的挑戰，在面對各種業務部門參與、協作的過程中，需要區分業務風險優先順序，關注縱深防禦節點，做出平衡業務的取捨，才能使業務安全部門更敏捷，更具有彈性。阿里聚安全幫助企業評估業務安全資產與風險優先順序，使用縱深防禦保護關鍵價值鏈上重要節點的安全，在實踐中為業務提供針對性的保護。

阿里聚安全作為提供互聯網業務解決方案的領先者，能力涉及移動安全、內容安全、數據風控、實人認證等多個緯度。其中內容安全包括智能鑒黃、文本過濾、圖文識別等，移動安全包括漏洞掃描、應用加固、安全組件、仿冒監測等，數據風控包括安全驗證、風險識別等，實人認證包括身份造假和冒用的識別。

目前阿里聚安全已經有超過8億多終端，使互聯網企業享受到淘寶、天貓、支付寶的「同款」安全防護技術，保護互聯網企業的業務安全。

編寫：迅迪、凝瓊@阿里聚安全

《阿里聚安全 2016 年報》完整PDF版本下載，請點擊這裡