摘要:每天新增近個新移動病毒樣本,每秒生成個阿里聚安全移動病毒樣本庫年新增病毒樣本達個,平均每天新增個樣本,這相當于每秒生成一個病毒樣本。阿里聚安全的人機識別系統,接口調用是億級別,而誤識別的數量只有個位數。
《阿里聚安全2016年報》發布,本報告重點聚焦在2016年阿里聚安全所關注的移動安全及數據風控上呈現出來的安全風險,在移動安全方面重點分析了病毒、仿冒、漏洞三部分,幫助用戶了解業務安全端安全方面應該注意的風險,之后會描述阿里聚安全在業務安全防控方面做的一些努力和觀點,幫助企業在建設互聯網業務安全時,考慮安全策略和防護應該往哪部分傾斜。
2016年度,Android平臺約10臺設備中就有1臺染毒,設備感染率達10%,阿里聚安全病毒掃描引擎共查殺病毒1.2億,病毒木馬的查殺幫助用戶抵御了大量的潛在風險。
阿里聚安全移動病毒樣本庫2016年新增病毒樣本達3284524個,平均每天新增9000個樣本,這相當于每10秒生成一個病毒樣本。我們也看到在9月份后病毒樣本有比較明顯的增加趨勢。雖然原生Android系統的安全性越來越高,但移動病毒利用多種手法如重打包知名應用、偽裝成生活類、色情類應用等傳播,在每天新增如此多病毒的惡意環境下,Android用戶必須時刻警惕在官方場合下載應用。
2016年,我們發現“惡意扣費”類在病毒樣本量占比最高,達72%。該類病毒應用未經用戶允許私自發送短信和扣費指令,對用戶手機的資費造成一定風險,而在客戶端檢測到樣本的“流氓行為”占比最高,“惡意扣費”其次。
對比客戶端病毒樣本和樣本庫類型,雖然“惡意扣費”的樣本數非常龐大,但在客戶端感染的數量已經成反比,這是因為國家著重針對影響范圍大、安全風險較高的移動互聯網惡意程序進行專項治理,“惡意扣費”類惡意程序治理效果顯著,而“流氓行為”、“隱私竊取”、“短信劫持”及“誘騙欺詐”類病毒還是以較少的樣本數占領了大多數客戶端,尤其是黑產用于詐騙的“短信劫持”和“誘騙欺詐” 病毒基本是以1:10的比率影響用戶端。此外干擾用戶正常使用軟件,影響用戶體驗,隨意添加廣告書簽、廣告快捷方式或鎖屏等行為的“流氓行為”類病毒也占據大量用戶客戶端,此類病毒一般用于惡意廣告推廣為主。
從16個行業分類分別選取了15個熱門應用,共240個應用進行仿冒分析,發現89%的熱門應用存在仿冒,總仿冒量高達12859個,平均每個應用的仿冒量達54個,總感染設備量達2374萬臺。3月份的仿冒應用量大幅下降,符合黑灰產在春節假期前后的活動較少的規律。
金融行業選取銀行、錢包和理財3個子分類,分別選取10個熱門應用進行分析,共發現仿冒應用407個。銀行類仿冒應用占53%,錢包類 仿冒應用占36%,理財類仿冒應用占11%。
2016年金融行業仿冒應用分布情況 ↓
在本次分析中,某銀行共發現30個仿冒應用,全部具有短信劫持行為,感染設備量為33863臺,感染用戶主要分布在廣東、北京和江蘇等 省份。
阿里聚安全移動安全掃描器2016 年全年成功提供的掃描服務305909 次, 平均每天提供的服務838次, 檢測漏洞數量達17698883個,全年所有掃描的App中有殼的App占比16.54%,產品迭代發布次數21次,新增規則16條。其中啟發式規則掃描可檢測外部可控數據對應用內部邏輯的影響, 掃描器能夠根據socket、網絡、intent傳入的數據,進行各種判斷,進而判斷是否存在可以被惡意用戶使用的漏洞,涵蓋了網絡釣魚、外部操作系統文件、命令執行、反射操作、啟動私有組件( activity 、service等)等各種類型的漏洞。此外,新增的拒絕服務掃描規則還可支持掃描動態注冊的組件是否能夠引起拒絕服務漏洞。
為分析移動應用各行業的漏洞情況,我們在第三方應用市場分別下載了18個行業的Top10應用共計180個,使用阿里聚安全漏洞掃描引擎對這批樣本進行漏洞掃描。18個行業的Top10應用中,98%的應用都有漏洞,總漏洞量14798個,平均每個應用有82個漏洞。旅游、游戲、影音、社交類產品漏洞數量靠前。但是高危漏洞占比最高的依次是辦公類、工具類、游戲類和金融類。企業在移動數據化進程過程中更需注意員工在使用這些行業APP時的安全威脅。
其中漏洞類型主要集成中“拒絕服務”、“Webview明文存儲密碼”、“密鑰硬編碼風險”及“AES/DES弱加密風險”中,“密鑰硬編碼風險”和“AES/DES弱加密風險” 漏洞會讓基于密碼學的信息安全基礎瓦解,因為常用的密碼學算法都是公開的,加密內容的保密依靠的是密鑰的保密,密鑰如果泄露,對于對稱密碼算法,根據用到的密鑰算法和加密后的密文,很容易得到加密前的明文;對于非對稱密碼算法或者簽名算法,根據密鑰和要加密的明文,很容易獲得計算出簽名值,從而偽造簽名。
這里建議企業用戶在開發App過程中,通過阿里聚安全的漏洞掃描來檢測應用是否具有密鑰硬編碼風險,使用阿里聚安全的安全組件中的安全加密功能保護開發者密鑰與加密算法實現,保證密鑰的安全性,實現安全的加解密操作及安全簽名功能。
PEGASUS——三叉戟攻擊鏈 是在對阿聯酋的一位人權活動家進行APT攻擊的時候被發現。整個攻擊鏈由三個漏洞組成:JS遠程代碼執行(CVE-2016- 4657),內核信息泄露(CVE-2016-4655),內核UAF代碼執行(CVE-2016-4656)。
利用該攻擊鏈可以做到iOS上的遠程完美越獄,完全竊取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等應用的敏感信息。PEGASUS可以說是近幾年來影響最大iOS漏洞之一,也是我們認為最復雜和穩定的針 對移動設備APT攻擊,可以認為是移動設備攻擊里程碑。利用移動設備集長連接的Wi-Fi,3G/4G,語音通信,攝像頭,Email,即時消 息,GPS,密碼,聯系人與一身的特性,針對移動設備的APT攻擊會越來越多。
2016年在各種互聯網業務活動中,羊毛黨、黃牛黨繼續盛行,各種沒有安全防控的紅包/優惠券促銷活動,會被羊毛黨以機器/小號等各種手段搶到手,基本70%~80%的促銷優惠會被羊毛黨薅走,導致商家和平臺的促銷優惠最終進入了羊毛黨的口袋。黃牛黨能夠利用機器下單、人肉搶單,將大優惠讓利產品瞬間搶到手,然后高價格售出賺取差價。大規模的批量機器下單,還會對網站的流量帶來壓力,產生類似DDOS攻擊,甚至能夠造成網站癱瘓。此外使用簡單維度的密碼驗證手法已經演變成使用復雜機器人猜測密碼的技術,來逃避簡單的策略防御。企業需要更多維度、指標,使用更復雜的規則、模型進行防御。
滑動驗證碼作為對抗人機黑產的重要手段,對篩查出來的“灰黑用戶”需要進一步精細判斷。進化的滑動驗證碼已經不再基于知識進行人機判斷,而是基于人類固有的生物特征以及操作的環境信息綜合決策,來判斷是人類還是機器。并且不會打斷用戶操作,進而提供更好的用戶體驗。驗證碼系統在對抗過程中,感知到風險,需要企業實時切換混淆和加密算法,極大提高黑產進行破解的成本。
阿里聚安全的人機識別系統,接口調用是億級別,而誤識別的數量只有個位數。除了誤識別,我們的技術難點還在于如何找出漏報。一般情況下,會對整體用戶流量的“大盤”進行監控,一旦監測到注冊或登錄流量異常,我們的安全攻防技術專家就會緊急響應。這種響應速度是小時級別的。
另外黑產通過刷庫撞庫也體現出業務時序的不同而不同。以2016年Q4為例,在雙十一之前,黑產主要精力用于各平臺的活動作弊,而過了雙十一,刷庫撞庫風險就開始持續走高,穩定占據了所有風險的一半以上。
目前移動應用通過資源換量、搜索平臺、廣告網絡及代理商、直接推廣及自然安裝等渠道來推廣和互動。但推廣者發現投入的費用反映的 推廣數據良好,但是沉淀到真是用戶卻表現非常不樂觀。大量的渠道欺詐使得移動應用推廣者損失巨大,根據某平臺分析,2016年移動欺 詐金額已經超數億美金。
常用移動欺詐通過機刷、模擬器、改機工具等手段作弊,如通過一鍵生成改機軟件修改手機硬件參數IMEI、MAC、藍牙地址等,偽造新手 機多次安裝激活App;通過腳本批量操作各種安卓模擬器如天天模擬器、海馬玩模擬器、夜神模擬器等,反復進行機刷-App安裝-App激 活等操作。阿里聚安全使用穩定的設備指紋技術 + 大數據分析,能準備識別各種作弊手段和作弊設備。為用戶節約推廣成本、時間成本、 開發成本,保障推廣者獲取真實的用戶數據為業務服務。
互聯網+或者企業在面對互聯網業務發展過程中的安全威脅時,實施數字化業務系統適應力所需的實踐,對傳統公司具有極大的挑戰,在面對各種業務部門參與、協作的過程中,需要區分業務風險優先級,關注縱深防御節點,做出平衡業務的取舍,才能使業務安全部門更敏捷,更具有彈性。阿里聚安全幫助企業評估業務安全資產與風險優先級,使用縱深防御保護關鍵價值鏈上重要節點的安全,在實踐中為業務提供針對性的保護。
阿里聚安全作為提供互聯網業務解決方案的領先者,能力涉及移動安全、內容安全、數據風控、實人認證等多個緯度。其中內容安全包括智能鑒黃、文本過濾、圖文識別等,移動安全包括漏洞掃描、應用加固、安全組件、仿冒監測等,數據風控包括安全驗證、風險識別等,實人認證包括身份造假和冒用的識別。
目前阿里聚安全已經有超過8億多終端,使互聯網企業享受到淘寶、天貓、支付寶的“同款”安全防護技術,保護互聯網企業的業務安全。
編寫:迅迪、凝瓊@阿里聚安全
《阿里聚安全 2016 年報》完整PDF版本下載
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11249.html
摘要:阿里聚安全移動安全專家陵軒在網絡安全生態峰會上分了渠道攻防的那些事兒。反進程枚舉反越獄檢測完美偽造日活業務數據阿里聚安全渠道反作弊解決方案阿里聚安全移動安全專家陵軒分享了阿里的渠道反作弊解決方案,獨創五層識別模型。 移動互聯網高速發展,要保持APP持續并且高速增長所需的成本也越來越高。美團網CEO在今年的一次公開會議上講到:2017年對移動互聯網公司來說是非常恐的。。主要表現在三個方面...
摘要:阿里聚安全攻防挑戰賽官方交流旺旺群。獎項設置預熱賽單項獎,每題成績排名前的隊伍,團隊成員將獲阿里聚安全定制禮品一份。 阿里聚安全攻防挑戰賽 已成功舉辦過兩屆,并逐漸成為安全行業經典賽事品牌,本屆更是推出史上最強權威導師助陣,是業界不可錯過的年度盛事!挑戰賽主要讓參賽選手真實的挑戰阿里巴巴移動安全和業務安全的防御。本次挑戰賽獎勵豐厚,總獎金累計20萬,還有定制禮品等你來拿! 作為姊妹賽事...
摘要:本次北京大會,阿里聚安全高級安全專家方超,特受邀作為上午主會場的分享嘉賓,為大家帶來互聯網業務面臨問題淺談和安全創新實踐演講。 現今,技術引領的商業變革已無縫滲透入我們的日常生活,「技術改變生活」的開發者們被推向了創新浪潮的頂端。國內知名的開發者技術社區 SegmentFault 至今已有四年多了,自技術問答開始,他們已經發展成為一個問答、專欄、筆記、頭條以及線下活動等多產品線的技術交...
閱讀 881·2023-04-25 19:17
閱讀 2179·2021-09-10 11:26
閱讀 1898·2019-08-30 15:54
閱讀 3411·2019-08-30 15:53
閱讀 2681·2019-08-30 11:20
閱讀 3391·2019-08-29 15:12
閱讀 1229·2019-08-29 13:16
閱讀 2384·2019-08-26 12:19