阿里聚安全2016年报发布:98%的热门应用存在漏洞

2017-03-13 18:53 来源:中国网 
2017-03-13 18:53:33来源:中国网作者:责任编辑:赵刚

  《阿里聚安全2016年报》发布,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全端安全方面应该注意的风险,之后会描述阿里聚安全在业务安全防控方面做的一些努力和观点,帮助企业在建设互联网业务安全时,考虑安全策略和防护应该往哪部分倾斜。

  Android平台约10台设备中就有1台染毒,设备感染率达10%

  2016年度,Android平台约10台设备中就有1台染毒,设备感染率达10%,阿里聚安全病毒扫描引擎共查杀病毒1.2亿,病毒木马的查杀帮助用户抵御了大量的潜在风险。

阿里聚安全2016年报发布:98%的热门应用存在漏洞

  每天新增近9000个新移动病毒样本,每10秒生成1个

  阿里聚安全移动病毒样本库2016年新增病毒样本达3284524个,平均每天新增9000个样本,这相当于每10秒生成一个病毒样本.Android用户必须时刻警惕在官方场合下载应用。

阿里聚安全2016年报发布:98%的热门应用存在漏洞

  2016年,我们发现“恶意扣费”类在病毒样本量占比最高,达72%。该类病毒应用未经用户允许私自发送短信和扣费指令,对用户手机的资费造成一定风险,而在客户端检测到样本的“流氓行为”占比最高,“恶意扣费”其次。

阿里聚安全2016年报发布:98%的热门应用存在漏洞

阿里聚安全2016年报发布:98%的热门应用存在漏洞

  89%的热门应用存在仿冒

  从16个行业分类分别选取了15个热门应用,共240个应用进行仿冒分析,发现89%的热门应用存在仿冒,总仿冒量高达12859个,平均每个应用的仿冒量达54个,总感染设备量达2374万台。3月份的仿冒应用量大幅下降,符合黑灰产在春节假期前后的活动较少的规律。

阿里聚安全2016年报发布:98%的热门应用存在漏洞

  金融行业银行类仿冒居多,某银行仿冒应用全部具有短信劫持行为

  金融行业选取银行、钱包和理财3个子分类,分别选取10个热门应用进行分析,共发现仿冒应用407个。银行类仿冒应用占53%,钱包类仿冒应用占36%,理财类仿冒应用占11%。

阿里聚安全2016年报发布:98%的热门应用存在漏洞

  在本次分析中,某银行共发现30个仿冒应用,全部具有短信劫持行为,感染设备量为33863台,感染用户主要分布在广东、北京和江苏等省份。

  18个行业的Top10应用中98%的应用都存在漏洞,但Webview远程执行代码漏洞迅速下降

  为分析移动应用各行业的漏洞情况,我们在第三方应用市场分别下载了18个行业的Top10应用共计180个,使用阿里聚安全漏洞扫描引擎对这批样本进行漏洞扫描。18个行业的Top10应用中,98%的应用都有漏洞,总漏洞量14798个,平均每个应用有82个漏洞。旅游、游戏、影音、社交类产品漏洞数量靠前。但是高危漏洞占比最高的依次是办公类、工具类、游戏类和金融类。企业在移动数据化进程过程中更需注意员工在使用这些行业APP时的安全威胁。

阿里聚安全2016年报发布:98%的热门应用存在漏洞

  其中漏洞类型主要集成中“拒绝服务”、“Webview明文存储密码”、“密钥硬编码风险”及“AES/DES弱加密风险”。

  这里建议企业用户在开发App过程中,通过阿里聚安全的漏洞扫描来检测应用是否具有密钥硬编码风险,使用阿里聚安全的安全组件中的安全加密功能保护开发者密钥与加密算法实现,保证密钥的安全性,实现安全的加解密操作及安全签名功能。

阿里聚安全2016年报发布:98%的热门应用存在漏洞

  羊毛党、黄牛党在2016年成为互联网业务发展过程中最大的毒瘤

  2016年在各种互联网业务活动中,羊毛党、黄牛党继续盛行,各种没有安全防控的红包/优惠券促销活动,会被羊毛党以机器/小号等各种手段抢到手,基本70%~80%的促销优惠会被羊毛党薅走,导致商家和平台的促销优惠最终进入了羊毛党的口袋。黄牛党能够利用机器下单、人肉抢单,将大优惠让利产品瞬间抢到手,然后高价格售出赚取差价。大规模的批量机器下单,还会对网站的流量带来压力,产生类似DDOS攻击,甚至能够造成网站瘫痪。此外使用简单维度的密码验证手法已经演变成使用复杂机器人猜测密码的技术,来逃避简单的策略防御。企业需要更多维度、指标,使用更复杂的规则、模型进行防御。

  阿里聚安全的人机识别系统,接口调用是亿级别,而误识别的数量只有个位数。除了误识别,我们的技术难点还在于如何找出漏报。一般情况下,会对整体用户流量的“大盘”进行监控,一旦监测到注册或登录流量异常,我们的安全攻防技术专家就会紧急响应。这种响应速度是小时级别的。

  另外黑产通过刷库撞库也体现出业务时序的不同而不同。以2016年Q4为例,在双十一之前,黑产主要精力用于各平台的活动作弊,而过了双十一,刷库撞库风险就开始持续走高,稳定占据了所有风险的一半以上。

阿里聚安全2016年报发布:98%的热门应用存在漏洞

  2016年移动欺诈损失超数亿美金

  目前移动应用通过资源换量、搜索平台、广告网络及代理商、直接推广及自然安装等渠道来推广和互动。但推广者发现投入的费用反映的推广数据良好,但是沉淀到真是用户却表现非常不乐观。大量的渠道欺诈使得移动应用推广者损失巨大,根据某平台分析,2016年移动欺诈金额已经超数亿美金。

  常用移动欺诈通过机刷、模拟器、改机工具等手段作弊,如通过一键生成改机软件修改手机硬件参数IMEI、MAC、蓝牙地址等,伪造新手机多次安装激活App;通过脚本批量操作各种安卓模拟器如天天模拟器、海马玩模拟器、夜神模拟器等,反复进行机刷-App安装-App激活等操作。阿里聚安全使用稳定的设备指纹技术+大数据分析,能准备识别各种作弊手段和作弊设备。为用户节约推广成本、时间成本、开发成本,保障推广者获取真实的用户数据为业务服务。

  创造纵深的有适应力的数字化业务系统

  互联网+或者企业在面对互联网业务发展过程中的安全威胁时,实施数字化业务系统适应力所需的实践,对传统公司具有极大的挑战,在面对各种业务部门参与、协作的过程中,需要区分业务风险优先级,关注纵深防御节点,做出平衡业务的取舍,才能使业务安全部门更敏捷,更具有弹性。阿里聚安全帮助企业评估业务安全资产与风险优先级,使用纵深防御保护关键价值链上重要节点的安全,在实践中为业务提供针对性的保护。

  阿里聚安全作为提供互联网业务解决方案的领先者,能力涉及移动安全、内容安全、数据风控、实人认证等多个纬度。其中内容安全包括智能鉴黄、文本过滤、图文识别等,移动安全包括漏洞扫描、应用加固、安全组件、仿冒监测等,数据风控包括安全验证、风险识别等,实人认证包括身份造假和冒用的识别。

  目前阿里聚安全已经有超过8亿多终端,使互联网企业享受到淘宝、天猫、支付宝的“同款”安全防护技术,保护互联网企业的业务安全。

阿里聚安全2016年报发布:98%的热门应用存在漏洞 

[责任编辑:赵刚]

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有

立即打开