《阿里聚安全2016年报》发布

2017-03-09 15:21:00 作者:佚名 分类 : 比特网

  《阿里聚安全2016年报》发布,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全端安全方面应该注意的风险,之后会描述阿里聚安全在业务安全防控方面做的一些努力和观点,帮助企业在建设互联网业务安全时,考虑安全策略和防护应该往哪部分倾斜。 

  Android平台约10台设备中就有1台染毒,设备感染率达10%

  2016年度,Android平台约10台设备中就有1台染毒,设备感染率达10%,阿里聚安全病毒扫描引擎共查杀病毒1.2亿,病毒木马的查杀帮助用户抵御了大量的潜在风险。

  每天新增近 9000个新移动病毒样本 ,每 10秒 生成 1个

  阿里聚安全移动病毒样本库2016年新增病毒样本达3284524个,平均每天新增9000个样本,这相当于每10秒生成一个病毒样本。我们也看到在9月份后病毒样本有比较明显的增加趋势。虽然原生Android系统的安全性越来越高,但移动病毒利用多种手法如重打包知名应用、伪装成生活类、色情类应用等传播,在每天新增如此多病毒的恶意环境下,Android用户必须时刻警惕在官方场合下载应用。

  2016年,我们发现“恶意扣费”类在病毒样本量占比最高,达72%。该类病毒应用未经用户允许私自发送短信和扣费指令,对用户手机的资费造成一定风险,而在客户端检测到样本的“流氓行为”占比最高,“恶意扣费”其次。

  对比客户端病毒样本和样本库类型,虽然“恶意扣费”的样本数非常庞大,但在客户端感染的数量已经成反比,这是因为国家着重针对影响范围大、安全风险较高的移动互联网恶意程序进行专项治理,“恶意扣费”类恶意程序治理效果显著,而“流氓行为”、“隐私窃取”、“短信劫持”及“诱骗欺诈”类病毒还是以较少的样本数占领了大多数客户端,尤其是黑产用于诈骗的“短信劫持”和“诱骗欺诈” 病毒基本是以1:10的比率影响用户端。此外干扰用户正常使用软件,影响用户体验,随意添加广告书签、广告快捷方式或锁屏等行为的“流氓行为”类病毒也占据大量用户客户端,此类病毒一般用于恶意广告推广为主。

  89% 的热门应用存在仿冒

  从16个行业分类分别选取了15个热门应用,共240个应用进行仿冒分析,发现89%的热门应用存在仿冒,总仿冒量高达12859个,平均每个应用的仿冒量达54个,总感染设备量达2374万台。3月份的仿冒应用量大幅下降,符合黑灰产在春节假期前后的活动较少的规律。

  金融行业银行类仿冒居多,某银行仿冒应用全部具有短信劫持行为

  金融行业选取银行、钱包和理财3个子分类,分别选取10个热门应用进行分析,共发现仿冒应用407个。银行类仿冒应用占53%,钱包类 仿冒应用占36%,理财类仿冒应用占11%。

  在本次分析中,某银行共发现30个仿冒应用,全部具有短信劫持行为,感染设备量为33863台,感染用户主要分布在广东、北京和江苏等省份。

  18个行业的Top10应用中98%的应用都存在漏洞,但Webview 远程执行代码漏洞迅速下降

  为分析移动应用各行业的漏洞情况,我们在第三方应用市场分别下载了18个行业的Top10应用共计180个,使用阿里聚安全漏洞扫描引擎对这批样本进行漏洞扫描。18个行业的Top10应用中,98%的应用都有漏洞,总漏洞量14798个,平均每个应用有82个漏洞。旅游、游、影音、社交类产品漏洞数量靠前。但是高危漏洞占比最高的依次是办公类、工具类、游戏类和金融类。企业在移动数据化进程过程中更需注意员工在使用这些行业APP时的安全威胁。

  其中漏洞类型主要集成中“拒绝服务”、“Webview明文存储密码”、“密钥硬编码风险”及“AES/DES弱加密风险”中,“密钥硬编码风险”和“AES/DES弱加密风险” 漏洞会让基于密码学的信息安全基础瓦解,因为常用的密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称密码算法或者签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。

  这里建议企业用户在开发App过程中,通过阿里聚安全的漏洞扫描来检测应用是否具有密钥硬编码风险,使用阿里聚安全的安全组件中的安全加密功能保护开发者密钥与加密算法实现,保证密钥的安全性,实现安全的加解密操作及安全签名功能。

  最复杂 老道 的iOS APT攻击 出现

  PEGASUS——三叉戟攻击链 是在对阿联酋的一位人权活动家进行APT攻击的时候被发现。整个攻击链由三个漏洞组成:JS远程代码执行(CVE-2016- 4657),内核信息泄露(CVE-2016-4655),内核UAF代码执行(CVE-2016-4656)。

  利用该攻击链可以做到iOS上的远程完美越狱,完全窃取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等应用的敏感信息。PEGASUS可以说是近几年来影响最大iOS漏洞之一,也是我们认为最复杂和稳定的针 对移动设备APT攻击,可以认为是移动设备攻击里程碑。利用移动设备集长连接的Wi-Fi,3G/4G,语音通信,摄像头,Email,即时消 息,GPS,密码,联系人与一身的特性,针对移动设备的APT攻击会越来越多。

  羊毛党、黄牛党在 2016年成为互联网业务发展过程中最大的毒瘤

  2016年在各种互联网业务活动中,羊毛党、黄牛党继续盛行,各种没有安全防控的红包/优惠券促销活动,会被羊毛党以机器/小号等各种手段抢到手,基本70%~80%的促销优惠会被羊毛党薅走,导致商家和平台的促销优惠最终进入了羊毛党的口袋。黄牛党能够利用机器下单、人肉抢单,将大优惠让利产品瞬间抢到手,然后高价格售出赚取差价。大规模的批量机器下单,还会对网站的流量带来压力,产生类似DDOS攻击,甚至能够造成网站瘫痪。此外使用简单维度的密码验证手法已经演变成使用复杂机器人猜测密码的技术,来逃避简单的策略防御。企业需要更多维度、指标,使用更复杂的规则、模型进行防御。

  人机对抗-滑动验证码作为对抗黑产的重要手段

  滑动验证码作为对抗人机黑产的重要手段,对筛查出来的“灰黑用户”需要进一步精细判断。进化的滑动验证码已经不再基于知识进行人机判断,而是基于人类固有的生物特征以及操作的环境信息综合决策,来判断是人类还是机器。并且不会打断用户操作,进而提供更好的用户体验。验证码系统在对抗过程中,感知到风险,需要企业实时切换混淆和加密算法,极大提高黑产进行破解的成本。

  阿里聚安全的人机识别系统,接口调用是亿级别,而误识别的数量只有个位数。除了误识别,我们的技术难点还在于如何找出漏报。一般情况下,会对整体用户流量的“大盘”进行监控,一旦监测到注册或登录流量异常,我们的安全攻防技术专家就会紧急响应。这种响应速度是小时级别的。

  另外黑产通过刷库撞库也体现出业务时序的不同而不同。以2016年Q4为例,在双十一之前,黑产主要精力用于各平台的活动作弊,而过了双十一,刷库撞库风险就开始持续走高,稳定占据了所有风险的一半以上。

  2016年移动欺诈损失超数亿美金

  目前移动应用通过资源换量、搜索平台、广告网络及代理商、直接推广及自然安装等渠道来推广和互动。但推广者发现投入的费用反映的 推广数据良好,但是沉淀到真是用户却表现非常不乐观。大量的渠道欺诈使得移动应用推广者损失巨大,根据某平台分析,2016年移动欺 诈金额已经超数亿美金。

  常用移动欺诈通过机刷、模拟器、改机工具等手段作弊,如通过一键生成改机软件修改手机硬件参数IMEI、MAC、蓝牙地址等,伪造新手 机多次安装激活App;通过脚本批量操作各种安卓模拟器如天天模拟器、海马玩模拟器、夜神模拟器等,反复进行机刷-App安装-App激 活等操作。阿里聚安全使用稳定的设备指纹技术 + 大数据分析,能准备识别各种作弊手段和作弊设备。为用户节约推广成本、时间成本、 开发成本,保障推广者获取真实的用户数据为业务服务。

  创造纵深的有适应力的数字化业务系统

  互联网+或者企业在面对互联网业务发展过程中的安全威胁时,实施数字化业务系统适应力所需的实践,对传统公司具有极大的挑战,在面对各种业务部门参与、协作的过程中,需要区分业务风险优先级,关注纵深防御节点,做出平衡业务的取舍,才能使业务安全部门更敏捷,更具有弹性。阿里聚安全帮助企业评估业务安全资产与风险优先级,使用纵深防御保护关键价值链上重要节点的安全,在实践中为业务提供针对性的保护。

  阿里聚安全作为提供互联网业务解决方案的领先者,能力涉及移动安全、内容安全、数据风控、实人认证等多个纬度。其中内容安全包括智能鉴黄、文本过滤、图文识别等,移动安全包括漏洞扫描、应用加固、安全组件、仿冒监测等,数据风控包括安全验证、风险识别等,实人认证包括身份造假和冒用的识别。

  目前阿里聚安全已经有超过8亿多终端,使互联网企业享受到淘宝、天猫、支付宝的“同款”安全防护技术,保护互联网企业的业务安全。

  阿里聚安全读者可以点击https://gw.alicdn.com/bao/uploaded/LB1Z2jwPVXXXXclapXXXXXXXXXX.pdf?spm=a1z3i.a4.0.0.R2ZAij&file=LB1Z2jwPVXXXXclapXXXXXXXXXX.pdf下载PDF报告完整版

芥末视频

最近更新
科普

科普图集
互联网创业者迎来春天,创业环境将更好

互联网创业者迎来春天,创业环境将更好>>详情

“互联网+”接上大市场,小创业正确打开方式

“互联网+”接上大市场,小创业正确打开方式>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。