摘要：每天新增近個新移動病毒樣本，每秒生成個阿里聚安全移動病毒樣本庫年新增病毒樣本達個，平均每天新增個樣本，這相當于每秒生成一個病毒樣本。阿里聚安全的人機識別系統(tǒng)，接口調(diào)用是億級別，而誤識別的數(shù)量只有個位數(shù)。

《阿里聚安全2016年報》發(fā)布，本報告重點聚焦在2016年阿里聚安全所關(guān)注的移動安全及數(shù)據(jù)風控上呈現(xiàn)出來的安全風險，在移動安全方面重點分析了病毒、仿冒、漏洞三部分，幫助用戶了解業(yè)務(wù)安全端安全方面應(yīng)該注意的風險，之后會描述阿里聚安全在業(yè)務(wù)安全防控方面做的一些努力和觀點，幫助企業(yè)在建設(shè)互聯(lián)網(wǎng)業(yè)務(wù)安全時，考慮安全策略和防護應(yīng)該往哪部分傾斜。　

Android平臺約10臺設(shè)備中就有1臺染毒，設(shè)備感染率達10%

2016年度，Android平臺約10臺設(shè)備中就有1臺染毒，設(shè)備感染率達10%，阿里聚安全病毒掃描引擎共查殺病毒1.2億，病毒木馬的查殺幫助用戶抵御了大量的潛在風險。

每天新增近9000個新移動病毒樣本，每10秒生成1個

阿里聚安全移動病毒樣本庫2016年新增病毒樣本達3284524個，平均每天新增9000個樣本，這相當于每10秒生成一個病毒樣本。我們也看到在9月份后病毒樣本有比較明顯的增加趨勢。雖然原生Android系統(tǒng)的安全性越來越高，但移動病毒利用多種手法如重打包知名應(yīng)用、偽裝成生活類、色情類應(yīng)用等傳播，在每天新增如此多病毒的惡意環(huán)境下，Android用戶必須時刻警惕在官方場合下載應(yīng)用。

2016年，我們發(fā)現(xiàn)“惡意扣費”類在病毒樣本量占比最高，達72%。該類病毒應(yīng)用未經(jīng)用戶允許私自發(fā)送短信和扣費指令，對用戶手機的資費造成一定風險，而在客戶端檢測到樣本的“流氓行為”占比最高，“惡意扣費”其次。

對比客戶端病毒樣本和樣本庫類型，雖然“惡意扣費”的樣本數(shù)非常龐大，但在客戶端感染的數(shù)量已經(jīng)成反比，這是因為國家著重針對影響范圍大、安全風險較高的移動互聯(lián)網(wǎng)惡意程序進行專項治理，“惡意扣費”類惡意程序治理效果顯著，而“流氓行為”、“隱私竊取”、“短信劫持”及“誘騙欺詐”類病毒還是以較少的樣本數(shù)占領(lǐng)了大多數(shù)客戶端，尤其是黑產(chǎn)用于詐騙的“短信劫持”和“誘騙欺詐” 病毒基本是以1：10的比率影響用戶端。此外干擾用戶正常使用軟件，影響用戶體驗，隨意添加廣告書簽、廣告快捷方式或鎖屏等行為的“流氓行為”類病毒也占據(jù)大量用戶客戶端，此類病毒一般用于惡意廣告推廣為主。

89%的熱門應(yīng)用存在仿冒

從16個行業(yè)分類分別選取了15個熱門應(yīng)用，共240個應(yīng)用進行仿冒分析，發(fā)現(xiàn)89%的熱門應(yīng)用存在仿冒，總仿冒量高達12859個，平均每個應(yīng)用的仿冒量達54個，總感染設(shè)備量達2374萬臺。3月份的仿冒應(yīng)用量大幅下降，符合黑灰產(chǎn)在春節(jié)假期前后的活動較少的規(guī)律。

金融行業(yè)銀行類仿冒居多,某銀行仿冒應(yīng)用全部具有短信劫持行為

金融行業(yè)選取銀行、錢包和理財3個子分類,分別選取10個熱門應(yīng)用進行分析,共發(fā)現(xiàn)仿冒應(yīng)用407個。銀行類仿冒應(yīng)用占53%,錢包類 仿冒應(yīng)用占36%,理財類仿冒應(yīng)用占11%。

2016年金融行業(yè)仿冒應(yīng)用分布情況 ↓

在本次分析中,某銀行共發(fā)現(xiàn)30個仿冒應(yīng)用,全部具有短信劫持行為,感染設(shè)備量為33863臺,感染用戶主要分布在廣東、北京和江蘇等 省份。

阿里聚安全移動安全掃描器創(chuàng)新迭代快速，幫助企業(yè)提高前置安全感知能力

阿里聚安全移動安全掃描器2016 年全年成功提供的掃描服務(wù)305909 次， 平均每天提供的服務(wù)838次， 檢測漏洞數(shù)量達17698883個，全年所有掃描的App中有殼的App占比16.54%，產(chǎn)品迭代發(fā)布次數(shù)21次，新增規(guī)則16條。其中啟發(fā)式規(guī)則掃描可檢測外部可控數(shù)據(jù)對應(yīng)用內(nèi)部邏輯的影響， 掃描器能夠根據(jù)socket、網(wǎng)絡(luò)、intent傳入的數(shù)據(jù)，進行各種判斷，進而判斷是否存在可以被惡意用戶使用的漏洞，涵蓋了網(wǎng)絡(luò)釣魚、外部操作系統(tǒng)文件、命令執(zhí)行、反射操作、啟動私有組件（ activity 、service等）等各種類型的漏洞。此外，新增的拒絕服務(wù)掃描規(guī)則還可支持掃描動態(tài)注冊的組件是否能夠引起拒絕服務(wù)漏洞。

18個行業(yè)的Top10應(yīng)用中98%的應(yīng)用都存在漏洞，但Webview遠程執(zhí)行代碼漏洞迅速下降

為分析移動應(yīng)用各行業(yè)的漏洞情況，我們在第三方應(yīng)用市場分別下載了18個行業(yè)的Top10應(yīng)用共計180個，使用阿里聚安全漏洞掃描引擎對這批樣本進行漏洞掃描。18個行業(yè)的Top10應(yīng)用中，98%的應(yīng)用都有漏洞，總漏洞量14798個，平均每個應(yīng)用有82個漏洞。旅游、游戲、影音、社交類產(chǎn)品漏洞數(shù)量靠前。但是高危漏洞占比最高的依次是辦公類、工具類、游戲類和金融類。企業(yè)在移動數(shù)據(jù)化進程過程中更需注意員工在使用這些行業(yè)APP時的安全威脅。

其中漏洞類型主要集成中“拒絕服務(wù)”、“Webview明文存儲密碼”、“密鑰硬編碼風險”及“AES/DES弱加密風險”中，“密鑰硬編碼風險”和“AES/DES弱加密風險” 漏洞會讓基于密碼學的信息安全基礎(chǔ)瓦解，因為常用的密碼學算法都是公開的，加密內(nèi)容的保密依靠的是密鑰的保密，密鑰如果泄露，對于對稱密碼算法，根據(jù)用到的密鑰算法和加密后的密文，很容易得到加密前的明文；對于非對稱密碼算法或者簽名算法，根據(jù)密鑰和要加密的明文，很容易獲得計算出簽名值，從而偽造簽名。

這里建議企業(yè)用戶在開發(fā)App過程中，通過阿里聚安全的漏洞掃描來檢測應(yīng)用是否具有密鑰硬編碼風險，使用阿里聚安全的安全組件中的安全加密功能保護開發(fā)者密鑰與加密算法實現(xiàn)，保證密鑰的安全性，實現(xiàn)安全的加解密操作及安全簽名功能。

最復雜老道的iOS APT攻擊出現(xiàn)

PEGASUS——三叉戟攻擊鏈 是在對阿聯(lián)酋的一位人權(quán)活動家進行APT攻擊的時候被發(fā)現(xiàn)。整個攻擊鏈由三個漏洞組成:JS遠程代碼執(zhí)行(CVE-2016- 4657),內(nèi)核信息泄露(CVE-2016-4655),內(nèi)核UAF代碼執(zhí)行(CVE-2016-4656)。

利用該攻擊鏈可以做到iOS上的遠程完美越獄,完全竊取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等應(yīng)用的敏感信息。PEGASUS可以說是近幾年來影響最大iOS漏洞之一,也是我們認為最復雜和穩(wěn)定的針 對移動設(shè)備APT攻擊,可以認為是移動設(shè)備攻擊里程碑。利用移動設(shè)備集長連接的Wi-Fi,3G/4G,語音通信,攝像頭,Email,即時消 息,GPS,密碼,聯(lián)系人與一身的特性,針對移動設(shè)備的APT攻擊會越來越多。

羊毛黨、黃牛黨在2016年成為互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展過程中最大的毒瘤

2016年在各種互聯(lián)網(wǎng)業(yè)務(wù)活動中，羊毛黨、黃牛黨繼續(xù)盛行，各種沒有安全防控的紅包/優(yōu)惠券促銷活動，會被羊毛黨以機器/小號等各種手段搶到手，基本70%~80%的促銷優(yōu)惠會被羊毛黨薅走，導致商家和平臺的促銷優(yōu)惠最終進入了羊毛黨的口袋。黃牛黨能夠利用機器下單、人肉搶單，將大優(yōu)惠讓利產(chǎn)品瞬間搶到手，然后高價格售出賺取差價。大規(guī)模的批量機器下單，還會對網(wǎng)站的流量帶來壓力，產(chǎn)生類似DDOS攻擊，甚至能夠造成網(wǎng)站癱瘓。此外使用簡單維度的密碼驗證手法已經(jīng)演變成使用復雜機器人猜測密碼的技術(shù)，來逃避簡單的策略防御。企業(yè)需要更多維度、指標，使用更復雜的規(guī)則、模型進行防御。

人機對抗-滑動驗證碼作為對抗黑產(chǎn)的重要手段

滑動驗證碼作為對抗人機黑產(chǎn)的重要手段，對篩查出來的“灰黑用戶”需要進一步精細判斷。進化的滑動驗證碼已經(jīng)不再基于知識進行人機判斷，而是基于人類固有的生物特征以及操作的環(huán)境信息綜合決策，來判斷是人類還是機器。并且不會打斷用戶操作，進而提供更好的用戶體驗。驗證碼系統(tǒng)在對抗過程中，感知到風險，需要企業(yè)實時切換混淆和加密算法，極大提高黑產(chǎn)進行破解的成本。

阿里聚安全的人機識別系統(tǒng)，接口調(diào)用是億級別，而誤識別的數(shù)量只有個位數(shù)。除了誤識別，我們的技術(shù)難點還在于如何找出漏報。一般情況下，會對整體用戶流量的“大盤”進行監(jiān)控，一旦監(jiān)測到注冊或登錄流量異常，我們的安全攻防技術(shù)專家就會緊急響應(yīng)。這種響應(yīng)速度是小時級別的。

另外黑產(chǎn)通過刷庫撞庫也體現(xiàn)出業(yè)務(wù)時序的不同而不同。以2016年Q4為例，在雙十一之前，黑產(chǎn)主要精力用于各平臺的活動作弊，而過了雙十一，刷庫撞庫風險就開始持續(xù)走高，穩(wěn)定占據(jù)了所有風險的一半以上。

2016年移動欺詐損失超數(shù)億美金

目前移動應(yīng)用通過資源換量、搜索平臺、廣告網(wǎng)絡(luò)及代理商、直接推廣及自然安裝等渠道來推廣和互動。但推廣者發(fā)現(xiàn)投入的費用反映的 推廣數(shù)據(jù)良好,但是沉淀到真是用戶卻表現(xiàn)非常不樂觀。大量的渠道欺詐使得移動應(yīng)用推廣者損失巨大,根據(jù)某平臺分析,2016年移動欺 詐金額已經(jīng)超數(shù)億美金。

常用移動欺詐通過機刷、模擬器、改機工具等手段作弊,如通過一鍵生成改機軟件修改手機硬件參數(shù)IMEI、MAC、藍牙地址等,偽造新手 機多次安裝激活App;通過腳本批量操作各種安卓模擬器如天天模擬器、海馬玩模擬器、夜神模擬器等,反復進行機刷-App安裝-App激 活等操作。阿里聚安全使用穩(wěn)定的設(shè)備指紋技術(shù) + 大數(shù)據(jù)分析,能準備識別各種作弊手段和作弊設(shè)備。為用戶節(jié)約推廣成本、時間成本、 開發(fā)成本,保障推廣者獲取真實的用戶數(shù)據(jù)為業(yè)務(wù)服務(wù)。

創(chuàng)造縱深的有適應(yīng)力的數(shù)字化業(yè)務(wù)系統(tǒng)

互聯(lián)網(wǎng)+或者企業(yè)在面對互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展過程中的安全威脅時，實施數(shù)字化業(yè)務(wù)系統(tǒng)適應(yīng)力所需的實踐，對傳統(tǒng)公司具有極大的挑戰(zhàn)，在面對各種業(yè)務(wù)部門參與、協(xié)作的過程中，需要區(qū)分業(yè)務(wù)風險優(yōu)先級，關(guān)注縱深防御節(jié)點，做出平衡業(yè)務(wù)的取舍，才能使業(yè)務(wù)安全部門更敏捷，更具有彈性。阿里聚安全幫助企業(yè)評估業(yè)務(wù)安全資產(chǎn)與風險優(yōu)先級，使用縱深防御保護關(guān)鍵價值鏈上重要節(jié)點的安全，在實踐中為業(yè)務(wù)提供針對性的保護。

阿里聚安全作為提供互聯(lián)網(wǎng)業(yè)務(wù)解決方案的領(lǐng)先者，能力涉及移動安全、內(nèi)容安全、數(shù)據(jù)風控、實人認證等多個緯度。其中內(nèi)容安全包括智能鑒黃、文本過濾、圖文識別等，移動安全包括漏洞掃描、應(yīng)用加固、安全組件、仿冒監(jiān)測等，數(shù)據(jù)風控包括安全驗證、風險識別等，實人認證包括身份造假和冒用的識別。

目前阿里聚安全已經(jīng)有超過8億多終端，使互聯(lián)網(wǎng)企業(yè)享受到淘寶、天貓、支付寶的“同款”安全防護技術(shù)，保護互聯(lián)網(wǎng)企業(yè)的業(yè)務(wù)安全。

編寫：迅迪、凝瓊@阿里聚安全

《阿里聚安全 2016 年報》完整PDF版本下載