海雲安：利益博弈，APP安全漏洞背後的攻防交鋒

全球範圍內移動設備的數量早就在多年前超越了世界人口總和。Statista的數據顯示，2016年全球範圍內智能手機的出貨量約在15億臺左右，預計到2020年這個數字會增長到17.1億；到2018年，全球手機用戶總數將達到25.3億人次——這其中1/4都來自中國。

而在國內，隨着近年來移動互聯網技術在各個領域應用的不斷延伸，APP應用的開發數量開始呈現井噴發展趨勢，隨之而來的一系列安全漏洞問題也開始逐步浮現。

APP應用所帶來的安全隱患

APP應用市場很是龐大，單是對於IOS 和android 這兩大操做系統APP市場來講，用戶涉及的面就很難估量，而目前這兩大移動系統平臺卻面臨着類似的安全風險情況：

安卓APP安全現狀緊迫

安卓APP因爲其開源性，在國內緊緊佔據移動系統第一的地位，因爲用戶做爲最終的使用方，每每更爲關心的是應用的功能性與可用性，安全性每每因爲難以直觀體驗經歷，外加缺少專業知識識別察覺，就成爲了最不受重視的一項使用因素，可是對於開發者來講廣泛卻對移動APP的安全現狀缺少樂觀的心態。

在近期的一次安全測評行動中，某機構選取了金融、購物、醫療、社交、遊戲、娛樂、交通與出行、生活等8個分類的892款Android平臺的流行App做爲樣本，針對移動APP存在的安全風險與漏洞進行評估發現：65%接受測試的移動App至少存在1個高危漏洞，平均每一個App就有7.32個漏洞；娛樂類移動App成安全漏洞重災區，每10個娛樂類移動App就有9個至少包含一個高危漏洞；而多達88%的金融類App都存在內存敏感數據泄露問題。

而從用戶角度來看，經過調查發現，高達70%左右的用戶並不清楚本身是否由於移動APP安全漏洞而遭遇了我的信息泄漏。可是安卓APP漏洞的存在將會對衆多用戶帶來切實的風險損失，如以前曾曝光過的一個安卓APP新型安全漏洞：「寄生獸」- 利用該漏洞，攻擊者能夠直接在用戶手機中植入木馬，盜取用戶的短信照片等我的隱私，甚至盜取銀行、支付寶等帳號密碼等。

IOS系統是否真的安全？

雖然蘋果聲稱一直擁有本身的操做系統，而且因爲系統的封閉性，安全性較強，可是在APP安全漏洞方面也未能倖免。早在2014年，國外研究機構IOActive Labs的研究人員阿里爾·桑切斯就曾測試過蘋果iOS平臺上的40款移動銀行App。結果顯示這些APP幾乎都未實施基本的安全保護措施，安全漏洞隨時可能出現。

在iOS系統爲用戶提供更多的安全防禦與隱私保護策略的同時，針對iOS系統的漏洞也呈現逐年上漲的趨勢。在過去的一年裏，蘋果公司陸續發佈12個iOS版本（目前版本號爲10.3.3）更新，共計修復338個安全漏洞，包含30個內核漏洞，106個Webkit代碼執行漏洞，其中多個高危漏洞完整利用代碼已經公開，可直接獲取系統最高權限，嚴重威脅用戶安全。

蘋果公司開發者網站顯示，自2016年9月發佈至今，全球範圍內87%的iOS用戶已經升級到iOS 10，但沒有給出具體的版本分佈狀況。但如前文所述，小版本的更新不及時依然會形成嚴峻的安全威脅。

APP安全漏洞的背後受益者

在這些層出不窮的APP風險漏洞事件背後，是否存在有受益產業鏈條羣體呢？

咱們知道一個完整的APP生態生命產業鏈，涉及到開發商、手機廠商、應用推廣運營商、移動廣告及應用市場等環節及因素，這背後有着諸多依賴APP風險漏洞獲利的黑色產業鏈，其源動力就是：利益驅動。

海雲安分析認爲，APP安全漏洞存在的背後，有三類羣體存在利益鏈條上的博弈：

1、部分APP外包開發商

APP的快速興起，促使市場出現了大量的APP開發需求，從成本考慮大部分企業每每選擇之外包的形式來得到所需的APP應用程序，而因爲甲方企業並不會特別注重安全問題，就致使開發企業不會在安全開發操做上投入過多的成本及精力，畢竟最終買單的是甲方企業，這就致使安全問題很容易出現。

另外，還有很多的外包開發商每每出於精簡成本、快速開發交工的考慮，會直接利用APP漏洞，獲取目標APP的一些核心開發代碼及元素，進行快速仿照開發，以極低的成本及投入完成開發任務，這種功利性的思考因素也導致了開發商對APP漏洞安全問題的「若即若離」，個別開發商甚至會在APP中直接嵌入某些病毒和惡意程序，惡意傳播後進行獲利。

2、打包黨

曾有人披露，在打包黨的巔峯時期，一個10人的團隊能夠在一個月內靠病毒打包純賺150萬元，即月均每人淨賺15萬。

打包黨通常是一些我的或小型的開發者團隊，專門尋找一些熱門應用，利用APP漏洞進行破解，拆包後插入一些本身想要分發的內容(好比加入病毒、廣告鏈或吸費指令等惡意程序)，再從新拼裝將這些「二次打包」的盜版軟件從新發布到應用市場中去，隨後就能夠穩坐後臺，開啓數錢模式。

打包黨是典型的利用APP漏洞獲益者，是受APP破解門檻低、風險漏洞數量多的安全現狀所催生的「黑色羣體」。用戶不當心中招後，損失的不只僅是流量、話費，還有沒法估量的我的信息。

3、移動互聯網信息黑產

隨着信息互聯的通道重心逐步朝向移動互聯網轉移，大量的信息黑產產業鏈也開始過渡轉移到了移動互聯網領域。

移動黑產大可能是利用移動APP系統中存在的大量風險漏洞，經過攻破劫持應用前端，配合通訊及後端的攻擊等進行實施，相比於傳統的脫庫攻擊，移動黑產更多的是圍繞移動支付、我的財產等敏感信息進行實施，同時攻擊很是隱蔽，不容易察覺，對企業移動業務的健康運營帶來了極大威脅。

海雲安的移動信息安全工程師認爲，目前常見的移動黑產可能是利用APP漏洞，植入病毒木馬綁架成爲「肉雞」，成爲殭屍應用，進而開展流量+數據黑產行爲，實施盜刷併產生了大量無效激活數據。同時「暗釦黃賭」、「木馬病毒」等非法應用的流量分發行爲及盜刷門、羊毛黨等也可能是利用漏洞進行應用劫持或者二次封裝從而實現的，因而可知移動APP的安全漏洞無疑是黑產從業者眼中的「香餑餑」。

這其中非法牟取到的大量用戶我的敏感信息，則又經其餘渠道轉手倒賣到借貸、房產、教育等諸多中介市場以進行電話營銷轟炸，或開展進一步的電信欺詐行爲。

對於移動黑產從業者來講，一根產業鏈條下來一舉多得、穩賺不賠，又何樂而不爲？

攻防安全，如何正確應對？

就像鏡子的兩面，每個新的行業的興起就必然會出現對應的「黑灰產業鏈」。對於志在搭乘移動互聯網東風謀求快速發展的企業來講，如何應對層出不窮的移動安全風險漏洞及隨之而來的業務攻擊，只有提升防範重視，積極應對這一條途徑了。

值得注意的是，目前隨着攻擊手段的不斷豐富，APP的相關安全漏洞也再也不侷限於以前的反編譯之流了。海雲安的移動信息安全工程師介紹說，「APP風險漏洞已經從當初的單一應用軟件漏洞，逐步延伸至通信協議漏洞、網絡交互協議攻擊、網絡代理、逆向欺詐等覆蓋整個移動業務系統的系列安全漏洞。所以在採起積極的應對措施時，單一的安全防禦手段可能就顯得並不高明。」

而從整個移動業務安全的角度來看，企業採起覆蓋整個移動業務系統的一體化安全防禦才能稱得上切實有效的安全策略。

海雲安：以業內領先的衆多安全技術產品和專家級的一體化安全技術方案，爲微衆銀行、平安銀行、恆大集團、天虹集團、順豐速運等衆多知名金融機構、政府、大中型企事業單位提供移動安全防禦解決方案，同時爲國家信息中心、公安部三所、國家安監總局等多家權威安全機構提供了專業的技術支撐支持。