《阿里聚安全2016年報》

《阿里聚安全2016年報》發佈，本報告重點聚焦在2016年阿里聚安全所關注的移動安全及數據風控上呈現出來的安全風險，在移動安全方面重點分析了病毒、仿冒、漏洞三部分，幫助用戶瞭解業務安全端安全方面應該注意的風險，以後會描述阿里聚安全在業務安全防控方面作的一些努力和觀點，幫助企業在建設互聯網業務安全時，考慮安全策略和防禦應該往哪部分傾斜。　

Android平臺約10臺設備中就有1臺染毒，設備感染率達10%

2016年度，Android平臺約10臺設備中就有1臺染毒，設備感染率達10%，阿里聚安全病毒掃描引擎共查殺病毒1.2億，病毒木馬的查殺幫助用戶抵禦了大量的潛在風險。

天天新增近9000個新移動病毒樣本，每10秒生成1個

阿里聚安全移動病毒樣本庫2016年新增病毒樣本達3284524個，平均天天新增9000個樣本，這至關於每10秒生成一個病毒樣本。咱們也看到在9月份後病毒樣本有比較明顯的增長趨勢。雖然原生Android系統的安全性愈來愈高，但移動病毒利用多種手法如重打包知名應用、假裝成生活類、色情類應用等傳播，在天天新增如此多病毒的惡意環境下，Android用戶必須時刻警戒在官方場合下載應用。

2016年，咱們發現「惡意扣費」類在病毒樣本量佔比最高，達72%。該類病毒應用未經用戶容許私自發送短信和扣費指令，對用戶手機的資費形成必定風險，而在客戶端檢測到樣本的「流氓行爲」佔比最高，「惡意扣費」其次。

對比客戶端病毒樣本和樣本庫類型，雖然「惡意扣費」的樣本數很是龐大，但在客戶端感染的數量已經成反比，這是由於國家着重針對影響範圍大、安全風險較高的移動互聯網惡意程序進行專項治理，「惡意扣費」類惡意程序治理效果顯著，而「流氓行爲」、「隱私竊取」、「短信劫持」及「誘騙欺詐」類病毒仍是以較少的樣本數佔領了大多數客戶端，尤爲是黑產用於詐騙的「短信劫持」和「誘騙欺詐」 病毒基本是以1：10的比率影響用戶端。此外干擾用戶正常使用軟件，影響用戶體驗，隨意添加廣告書籤、廣告快捷方式或鎖屏等行爲的「流氓行爲」類病毒也佔據大量用戶客戶端，此類病毒通常用於惡意廣告推廣爲主。

89%的熱門應用存在仿冒

從16個行業分類分別選取了15個熱門應用，共240個應用進行仿冒分析，發現89%的熱門應用存在仿冒，總仿冒量高達12859個，平均每一個應用的仿冒量達54個，總感染設備量達2374萬臺。3月份的仿冒應用量大幅降低，符合黑灰產在春節假期先後的活動較少的規律。

金融行業銀行類仿冒居多,某銀行仿冒應用所有具備短信劫持行爲

金融行業選取銀行、錢包和理財3個子分類,分別選取10個熱門應用進行分析,共發現仿冒應用407個。銀行類仿冒應用佔53%,錢包類 仿冒應用佔36%,理財類仿冒應用佔11%。

2016年金融行業仿冒應用分佈狀況 ↓

在本次分析中,某銀行共發現30個仿冒應用,所有具備短信劫持行爲,感染設備量爲33863臺,感染用戶主要分佈在廣東、北京和江蘇等 省份。

阿里聚安全移動安全掃描器創新迭代快速，幫助企業提升前置安全感知能力

阿里聚安全移動安全掃描器2016 年整年成功提供的掃描服務305909 次， 平均天天提供的服務838次， 檢測漏洞數量達17698883個，整年全部掃描的App中有殼的App佔比16.54%，產品迭代發佈次數21次，新增規則16條。其中啓發式規則掃描可檢測外部可控數據對應用內部邏輯的影響， 掃描器可以根據socket、網絡、intent傳入的數據，進行各類判斷，進而判斷是否存在能夠被惡意用戶使用的漏洞，涵蓋了網絡釣魚、外部操做系統文件、命令執行、反射操做、啓動私有組件（ activity 、service等）等各類類型的漏洞。此外，新增的拒絕服務掃描規則還可支持掃描動態註冊的組件是否可以引發拒絕服務漏洞。

18個行業的Top10應用中98%的應用都存在漏洞，但Webview遠程執行代碼漏洞迅速降低

爲分析移動應用各行業的漏洞狀況，咱們在第三方應用市場分別下載了18個行業的Top10應用共計180個，使用阿里聚安全漏洞掃描引擎對這批樣本進行漏洞掃描。18個行業的Top10應用中，98%的應用都有漏洞，總漏洞量14798個，平均每一個應用有82個漏洞。旅遊、遊戲、影音、社交類產品漏洞數量靠前。可是高危漏洞佔比最高的依次是辦公類、工具類、遊戲類和金融類。企業在移動數據化進程過程當中更需注意員工在使用這些行業APP時的安全威脅。

其中漏洞類型主要集成中「拒絕服務」、「Webview明文存儲密碼」、「密鑰硬編碼風險」及「AES/DES弱加密風險」中，「密鑰硬編碼風險」和「AES/DES弱加密風險」 漏洞會讓基於密碼學的信息安全基礎瓦解，由於經常使用的密碼學算法都是公開的，加密內容的保密依靠的是密鑰的保密，密鑰若是泄露，對於對稱密碼算法，根據用到的密鑰算法和加密後的密文，很容易獲得加密前的明文；對於非對稱密碼算法或者簽名算法，根據密鑰和要加密的明文，很容易得到計算出簽名值，從而僞造簽名。

這裏建議企業用戶在開發App過程當中，經過阿里聚安全的漏洞掃描來檢測應用是否具備密鑰硬編碼風險，使用阿里聚安全的安全組件中的安全加密功能保護開發者密鑰與加密算法實現，保證密鑰的安全性，實現安全的加解密操做及安全簽名功能。

最複雜老道的iOS APT攻擊出現

PEGASUS——三叉戟攻擊鏈 是在對阿聯酋的一位人權活動家進行APT攻擊的時候被發現。整個攻擊鏈由三個漏洞組成:JS遠程代碼執行(CVE-2016- 4657),內核信息泄露(CVE-2016-4655),內核UAF代碼執行(CVE-2016-4656)。

利用該攻擊鏈能夠作到iOS上的遠程完美越獄,徹底竊取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等應用的敏感信息。PEGASUS能夠說是近幾年來影響最大iOS漏洞之一,也是咱們認爲最複雜和穩定的針 對移動設備APT攻擊,能夠認爲是移動設備攻擊里程碑。利用移動設備集長鏈接的Wi-Fi,3G/4G,語音通訊,攝像頭,Email,即時消 息,GPS,密碼,聯繫人與一身的特性,針對移動設備的APT攻擊會愈來愈多。

羊毛黨、黃牛黨在2016年成爲互聯網業務發展過程當中最大的毒瘤

2016年在各類互聯網業務活動中，羊毛黨、黃牛黨繼續盛行，各類沒有安全防控的紅包/優惠券促銷活動，會被羊毛黨以機器/小號等各類手段搶到手，基本70%~80%的促銷優惠會被羊毛黨薅走，致使商家和平臺的促銷優惠最終進入了羊毛黨的口袋。黃牛黨可以利用機器下單、人肉搶單，將大優惠讓利產品瞬間搶到手，而後高價格售出賺取差價。大規模的批量機器下單，還會對網站的流量帶來壓力，產生相似DDOS攻擊，甚至可以形成網站癱瘓。此外使用簡單維度的密碼驗證手法已經演變成使用複雜機器人猜想密碼的技術，來逃避簡單的策略防護。企業須要更多維度、指標，使用更復雜的規則、模型進行防護。

人機對抗-滑動驗證碼做爲對抗黑產的重要手段

滑動驗證碼做爲對抗人機黑產的重要手段，對篩查出來的「灰黑用戶」須要進一步精細判斷。進化的滑動驗證碼已經再也不基於知識進行人機判斷，而是基於人類固有的生物特徵以及操做的環境信息綜合決策，來判斷是人類仍是機器。而且不會打斷用戶操做，進而提供更好的用戶體驗。驗證碼系統在對抗過程當中，感知到風險，須要企業實時切換混淆和加密算法，極大提升黑產進行破解的成本。

阿里聚安全的人機識別系統，接口調用是億級別，而誤識別的數量只有個位數。除了誤識別，咱們的技術難點還在於如何找出漏報。通常狀況下，會對總體用戶流量的「大盤」進行監控，一旦監測到註冊或登陸流量異常，咱們的安全攻防技術專家就會緊急響應。這種響應速度是小時級別的。

另外黑產經過刷庫撞庫也體現出業務時序的不一樣而不一樣。以2016年Q4爲例，在雙十一以前，黑產主要精力用於各平臺的活動做弊，而過了雙十一，刷庫撞庫風險就開始持續走高，穩定佔據了全部風險的一半以上。

2016年移動欺詐損失超數億美金

目前移動應用經過資源換量、搜索平臺、廣告網絡及代理商、直接推廣及天然安裝等渠道來推廣和互動。但推廣者發現投入的費用反映的 推廣數據良好,可是沉澱到真是用戶卻表現很是不樂觀。大量的渠道欺詐使得移動應用推廣者損失巨大,根據某平臺分析,2016年移動欺 詐金額已經超數億美金。

經常使用移動欺詐經過機刷、模擬器、改機工具等手段做弊,如經過一鍵生成改機軟件修改手機硬件參數IMEI、MAC、藍牙地址等,僞造新手 機屢次安裝激活App;經過腳本批量操做各類安卓模擬器如每天模擬器、海馬玩模擬器、夜神模擬器等,反覆進行機刷-App安裝-App激 活等操做。阿里聚安全使用穩定的設備指紋技術 + 大數據分析,能準備識別各類做弊手段和做弊設備。爲用戶節約推廣成本、時間成本、 開發成本,保障推廣者獲取真實的用戶數據爲業務服務。

創造縱深的有適應力的數字化業務系統

互聯網+或者企業在面對互聯網業務發展過程當中的安全威脅時，實施數字化業務系統適應力所需的實踐，對傳統公司具備極大的挑戰，在面對各類業務部門參與、協做的過程當中，須要區分業務風險優先級，關注縱深防護節點，作出平衡業務的取捨，才能使業務安所有門更敏捷，更具備彈性。阿里聚安全幫助企業評估業務安全資產與風險優先級，使用縱深防護保護關鍵價值鏈上重要節點的安全，在實踐中爲業務提供針對性的保護。

阿里聚安全做爲提供互聯網業務解決方案的領先者，能力涉及移動安全、內容安全、數據風控、實人認證等多個緯度。其中內容安全包括智能鑑黃、文本過濾、圖文識別等，移動安全包括漏洞掃描、應用加固、安全組件、仿冒監測等，數據風控包括安全驗證、風險識別等，實人認證包括身份造假和冒用的識別。

目前阿里聚安全已經有超過8億多終端，使互聯網企業享受到淘寶、天貓、支付寶的「同款」安全防禦技術，保護互聯網企業的業務安全。

編寫：迅迪、凝瓊@阿里聚安全

《阿里聚安全 2016 年報》完整PDF版本下載