《阿里聚安全2016年报》发布,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全端安全方面应该注意的风险,之后会描述阿里聚安全在业务安全防控方面做的一些努力和观点,帮助企业在建设互联网业务安全时,考虑安全策略和防护应该往哪部分倾斜。
2016年度,Android平台约10台设备中就有1台染毒,设备感染率达10%,阿里聚安全病毒扫描引擎共查杀病毒1.2亿,病毒木马的查杀帮助用户抵御了大量的潜在风险。
阿里聚安全移动病毒样本库2016年新增病毒样本达3284524个,平均每天新增9000个样本,这相当于每10秒生成一个病毒样本。我们也看到在9月份后病毒样本有比较明显的增加趋势。虽然原生Android系统的安全性越来越高,但移动病毒利用多种手法如重打包知名应用、伪装成生活类、色情类应用等传播,在每天新增如此多病毒的恶意环境下,Android用户必须时刻警惕在官方场合下载应用。
2016年,我们发现“恶意扣费”类在病毒样本量占比最高,达72%。该类病毒应用未经用户允许私自发送短信和扣费指令,对用户手机的资费造成一定风险,而在客户端检测到样本的“流氓行为”占比最高,“恶意扣费”其次。
对比客户端病毒样本和样本库类型,虽然“恶意扣费”的样本数非常庞大,但在客户端感染的数量已经成反比,这是因为国家着重针对影响范围大、安全风险较高的移动互联网恶意程序进行专项治理,“恶意扣费”类恶意程序治理效果显著,而“流氓行为”、“隐私窃取”、“短信劫持”及“诱骗欺诈”类病毒还是以较少的样本数占领了大多数客户端,尤其是黑产用于诈骗的“短信劫持”和“诱骗欺诈” 病毒基本是以1:10的比率影响用户端。此外干扰用户正常使用软件,影响用户体验,随意添加广告书签、广告快捷方式或锁屏等行为的“流氓行为”类病毒也占据大量用户客户端,此类病毒一般用于恶意广告推广为主。
从16个行业分类分别选取了15个热门应用,共240个应用进行仿冒分析,发现89%的热门应用存在仿冒,总仿冒量高达12859个,平均每个应用的仿冒量达54个,总感染设备量达2374万台。3月份的仿冒应用量大幅下降,符合黑灰产在春节假期前后的活动较少的规律。
金融行业选取银行、钱包和理财3个子分类,分别选取10个热门应用进行分析,共发现仿冒应用407个。银行类仿冒应用占53%,钱包类 仿冒应用占36%,理财类仿冒应用占11%。
2016年金融行业仿冒应用分布情况 ↓
在本次分析中,某银行共发现30个仿冒应用,全部具有短信劫持行为,感染设备量为33863台,感染用户主要分布在广东、北京和江苏等 省份。
阿里聚安全移动安全扫描器2016 年全年成功提供的扫描服务305909 次, 平均每天提供的服务838次, 检测漏洞数量达17698883个,全年所有扫描的App中有壳的App占比16.54%,产品迭代发布次数21次,新增规则16条。其中启发式规则扫描可检测外部可控数据对应用内部逻辑的影响, 扫描器能够根据socket、网络、intent传入的数据,进行各种判断,进而判断是否存在可以被恶意用户使用的漏洞,涵盖了网络钓鱼、外部操作系统文件、命令执行、反射操作、启动私有组件( activity 、service等)等各种类型的漏洞。此外,新增的拒绝服务扫描规则还可支持扫描动态注册的组件是否能够引起拒绝服务漏洞。
为分析移动应用各行业的漏洞情况,我们在第三方应用市场分别下载了18个行业的Top10应用共计180个,使用阿里聚安全漏洞扫描引擎对这批样本进行漏洞扫描。18个行业的Top10应用中,98%的应用都有漏洞,总漏洞量14798个,平均每个应用有82个漏洞。旅游、游戏、影音、社交类产品漏洞数量靠前。但是高危漏洞占比最高的依次是办公类、工具类、游戏类和金融类。企业在移动数据化进程过程中更需注意员工在使用这些行业APP时的安全威胁。
其中漏洞类型主要集成中“拒绝服务”、“Webview明文存储密码”、“密钥硬编码风险”及“AES/DES弱加密风险”中,“密钥硬编码风险”和“AES/DES弱加密风险” 漏洞会让基于密码学的信息安全基础瓦解,因为常用的密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称密码算法或者签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。
这里建议企业用户在开发App过程中,通过阿里聚安全的漏洞扫描来检测应用是否具有密钥硬编码风险,使用阿里聚安全的安全组件中的安全加密功能保护开发者密钥与加密算法实现,保证密钥的安全性,实现安全的加解密操作及安全签名功能。
PEGASUS——三叉戟攻击链 是在对阿联酋的一位人权活动家进行APT攻击的时候被发现。整个攻击链由三个漏洞组成:JS远程代码执行(CVE-2016- 4657),内核信息泄露(CVE-2016-4655),内核UAF代码执行(CVE-2016-4656)。
利用该攻击链可以做到iOS上的远程完美越狱,完全窃取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等应用的敏感信息。PEGASUS可以说是近几年来影响最大iOS漏洞之一,也是我们认为最复杂和稳定的针 对移动设备APT攻击,可以认为是移动设备攻击里程碑。利用移动设备集长连接的Wi-Fi,3G/4G,语音通信,摄像头,Email,即时消 息,GPS,密码,联系人与一身的特性,针对移动设备的APT攻击会越来越多。
2016年在各种互联网业务活动中,羊毛党、黄牛党继续盛行,各种没有安全防控的红包/优惠券促销活动,会被羊毛党以机器/小号等各种手段抢到手,基本70%~80%的促销优惠会被羊毛党薅走,导致商家和平台的促销优惠最终进入了羊毛党的口袋。黄牛党能够利用机器下单、人肉抢单,将大优惠让利产品瞬间抢到手,然后高价格售出赚取差价。大规模的批量机器下单,还会对网站的流量带来压力,产生类似DDOS攻击,甚至能够造成网站瘫痪。此外使用简单维度的密码验证手法已经演变成使用复杂机器人猜测密码的技术,来逃避简单的策略防御。企业需要更多维度、指标,使用更复杂的规则、模型进行防御。
滑动验证码作为对抗人机黑产的重要手段,对筛查出来的“灰黑用户”需要进一步精细判断。进化的滑动验证码已经不再基于知识进行人机判断,而是基于人类固有的生物特征以及操作的环境信息综合决策,来判断是人类还是机器。并且不会打断用户操作,进而提供更好的用户体验。验证码系统在对抗过程中,感知到风险,需要企业实时切换混淆和加密算法,极大提高黑产进行破解的成本。
阿里聚安全的人机识别系统,接口调用是亿级别,而误识别的数量只有个位数。除了误识别,我们的技术难点还在于如何找出漏报。一般情况下,会对整体用户流量的“大盘”进行监控,一旦监测到注册或登录流量异常,我们的安全攻防技术专家就会紧急响应。这种响应速度是小时级别的。
另外黑产通过刷库撞库也体现出业务时序的不同而不同。以2016年Q4为例,在双十一之前,黑产主要精力用于各平台的活动作弊,而过了双十一,刷库撞库风险就开始持续走高,稳定占据了所有风险的一半以上。
目前移动应用通过资源换量、搜索平台、广告网络及代理商、直接推广及自然安装等渠道来推广和互动。但推广者发现投入的费用反映的 推广数据良好,但是沉淀到真是用户却表现非常不乐观。大量的渠道欺诈使得移动应用推广者损失巨大,根据某平台分析,2016年移动欺 诈金额已经超数亿美金。
常用移动欺诈通过机刷、模拟器、改机工具等手段作弊,如通过一键生成改机软件修改手机硬件参数IMEI、MAC、蓝牙地址等,伪造新手 机多次安装激活App;通过脚本批量操作各种安卓模拟器如天天模拟器、海马玩模拟器、夜神模拟器等,反复进行机刷-App安装-App激 活等操作。阿里聚安全使用稳定的设备指纹技术 + 大数据分析,能准备识别各种作弊手段和作弊设备。为用户节约推广成本、时间成本、 开发成本,保障推广者获取真实的用户数据为业务服务。
互联网+或者企业在面对互联网业务发展过程中的安全威胁时,实施数字化业务系统适应力所需的实践,对传统公司具有极大的挑战,在面对各种业务部门参与、协作的过程中,需要区分业务风险优先级,关注纵深防御节点,做出平衡业务的取舍,才能使业务安全部门更敏捷,更具有弹性。阿里聚安全帮助企业评估业务安全资产与风险优先级,使用纵深防御保护关键价值链上重要节点的安全,在实践中为业务提供针对性的保护。
阿里聚安全作为提供互联网业务解决方案的领先者,能力涉及移动安全、内容安全、数据风控、实人认证等多个纬度。其中内容安全包括智能鉴黄、文本过滤、图文识别等,移动安全包括漏洞扫描、应用加固、安全组件、仿冒监测等,数据风控包括安全验证、风险识别等,实人认证包括身份造假和冒用的识别。
目前阿里聚安全已经有超过8亿多终端,使互联网企业享受到淘宝、天猫、支付宝的“同款”安全防护技术,保护互联网企业的业务安全。
编写:迅迪、凝琼@阿里聚安全
《阿里聚安全 2016 年报》完整PDF版本下载