《阿里聚安全 2016 年报》正式发布,98%的热门应用存在漏洞

  • 时间:
  • 浏览:1
  • 来源:彩神3D_神彩3D官方

阿里聚安全的人机识别系统,接口调用是亿级别,而误识别的数量不到个位数。除了误识别,人们人们人们的技术难点还在于如保找出漏报。一般清况 下,会对整体用户流量的“大盘”进行监控,一旦监测到注册或登录流量异常,人们人们人们的安全攻防技术专家就会紧急响应。并都在响应传输效率是小时级别的。

2016年,人们人们人们发现“恶意扣费”类在病毒样本量占比最高,达72%。该类病毒应用未经用户允许私自发送短信和扣费指令,对用户手机的资费造成一定风险,而在客户端检测到样本的“流氓行为”占比最高,“恶意扣费”其次。

利用该攻击链可不还要做到iOS上的远程完美越狱,删改窃取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等应用的敏感信息。PEGASUS可不还要说是近几年来影响最大iOS漏洞之一,也是人们人们人们认为最简化和稳定的针 对移动设备APT攻击,可不还要认为是移动设备攻击里程碑。利用移动设备集长连接的Wi-Fi,3G/4G,语音通信,摄像头,Email,即时消 息,GPS,密码,联系人与一身的特性,针对移动设备的APT攻击会很多。

2016年金融行业仿冒应用分布清况

另外黑产通过刷库撞库也体现出业务时序的不同而不同。以2016年Q4为例,在双十一但是 ,黑产主要精力用于各平台的活动作弊,而过了双十一,刷库撞库风险就结束英语 持续走高,稳定趋于稳定了所有风险的一半以上。

目前阿里聚安全可能性有超过8亿多终端,使互联网企业享受到淘宝、天猫、支付宝的“同款”安全防护技术,保护互联网企业的业务安全。

金融行业选者银行、钱包和理财4个子分类,分别选者10个热门应用进行分析,共发现仿冒应用407个。银行类仿冒应用占53%,钱包类 仿冒应用占36%,理财类仿冒应用占11%。

2016年度,Android平台约10台设备中可不能不能 1台染毒,设备感染率达10%,阿里聚安全病毒扫描引擎共查杀病毒1.2亿,病毒木马的查杀帮助用户抵御了少许的潜在风险。

《阿里聚安全 2016 年报》删改PDF版本下载,请点击这里

滑动验证码作为对抗人机黑产的重要手段,对筛查出来的“灰黑用户”还要进一步精细判断。进化的滑动验证码可能性不再基于知识进行人机判断,本来基于人类固有的生物特性以及操作的环境信息综合决策,来判断是人类还是机器。但是 不想打断用户操作,进而提供更好的用户体验。验证码系统在对抗过程中,感知到风险,还要企业实时切换混淆和加密算法,极大提高黑产进行破解的成本。

阿里聚安全作为提供互联网业务处置方案的领先者,能力涉及移动安全、内容安全、数据风控、实人认证等多个纬度。其中内容安全包括智能鉴黄、文本过滤、图文识别等,移动安全包括漏洞扫描、应用加固、安全组件、仿冒监测等,数据风控包括安全验证、风险识别等,实人认证包括身份造假和冒用的识别。

目前移动应用通过资源换量、搜索平台、广告网络及代理商、直接推广及自然安装等渠道来推广和互动。但推广者发现投入的费用反映的 推广数据良好,但是 沉淀到你造用户却表现非常不乐观。少许的渠道欺诈使得移动应用推广者损失巨大,根据某平台分析,2016年移动欺 诈金额可能性超数亿美金。

这里建议企业用户在开发App过程中,通过阿里聚安全的漏洞扫描来检测应用是否具有密钥硬编码风险,使用阿里聚安全的安全组件中的安全加密功能保护开发者密钥与加密算法实现,保证密钥的安全性,实现安全的加解密操作及安全签名功能。

PEGASUS——三叉戟攻击链 是在对阿联酋的一位人权活动家进行APT攻击的但是 被发现。整个攻击链由4个 多多漏洞组成:JS远程代码执行(CVE-2016- 4657),内核信息泄露(CVE-2016-4655),内核UAF代码执行(CVE-2016-4656)。

在本次分析中,某银行共发现80个仿冒应用,删改具有短信劫持行为,感染设备量为33863台,感染用户主要分布在广东、北京和江苏等 省份。

常用移动欺诈通过机刷、模拟器、改机工具等手段作弊,如通过一键生成改机软件修改手机硬件参数IMEI、MAC、蓝牙地址等,伪造新手 机多次安装激活App;通过脚本批量操作各种安卓模拟器如天天模拟器、海马玩模拟器、夜神模拟器等,反复进行机刷-App安装-App激 活等操作。阿里聚安全使用稳定的设备指纹技术 + 大数据分析,能准备识别各种作弊手段和作弊设备。为用户节约推广成本、时间成本、 开发成本,保障推广者获取真实的用户数据为业务服务。

阿里聚安全移动安全扫描器2016 年全年成功提供的扫描服务805909 次, 平均每天提供的服务838次, 检测漏洞数量达17698884个,全年所有扫描的App涵盖壳的App占比16.54%,产品迭代发布次数21次,新增规则16条。其中启发式规则扫描可检测内部人员可控数据对应用内部人员逻辑的影响, 扫描器促使根据socket、网络、intent传入的数据,进行各种判断,进而判断是否趋于稳定可不还要被恶意用户使用的漏洞,涵盖了网络钓鱼、内部人员操作系统文件、命令执行、反射操作、启动私有组件( activity 、service等)等各种类型的漏洞。此外,新增的拒绝服务扫描规则还可支持扫描动态注册的组件是否促使引起拒绝服务漏洞。

其中漏洞类型主要集成中“拒绝服务”、“Webview明文存储密码”、“密钥硬编码风险”及“AES/DES弱加密风险”中,“密钥硬编码风险”和“AES/DES弱加密风险” 漏洞会让基于密码学的信息安全基础瓦解,可能性常用的密码学算法可不能不能 公开的,加密内容的保密依靠的是密钥的保密,密钥可能性泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称密码算法可能性签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。

互联网+可能性企业在面对互联网业务发展过程中的安全威胁时,实施数字化业务系统适应力所需的实践,对传统公司具有极大的挑战,在面对各种业务部门参与、商务战略合作的过程中,还要区分业务风险优先级,关注纵深防御节点,做出平衡业务的选者,促使使业务安删改门更敏捷,更具有弹性。阿里聚安全帮助企业评估业务安全资产与风险优先级,使用纵深防御保护关键价值链上重要节点的安全,在实践中为业务提供针对性的保护。

对比客户端病毒样本和样本库类型,虽然“恶意扣费”的样本数非常庞大,但在客户端感染的数量可能性成反比,这是可能性国家着重针对影响范围大、安全风险较高的移动互联网恶意多多程序运行 进行专项治理,“恶意扣费”类恶意多多程序运行 治理效果显著,而“流氓行为”、“隐私窃取”、“短信劫持”及“诱骗欺诈”类病毒还是以较少的样本数占领了大多数客户端,尤其是黑产用于诈骗的“短信劫持”和“诱骗欺诈” 病毒基本是以1:10的比率影响用户端。此外干扰用户正常使用软件,影响用户体验,随意添加广告书签、广告快捷妙招或锁屏等行为的“流氓行为”类病毒也趋于稳定少许用户客户端,此类病毒一般用于恶意广告推广为主。

阿里聚安全移动病毒样本库2016年新增病毒样本达3284524个 多多,平均每天新增9000个样本,这大概每10秒生成4个 多多病毒样本。人们人们人们也都看在9月份后病毒样本有比较明显的增加趋势。虽然原生Android系统的安全性都那末高,但移动病毒利用多种手法如重打包知名应用、伪装成生活类、色情类应用等传播,在每天新增都那末多病毒的恶意环境下,Android用户还要时刻警惕在官方场合下载应用。

《阿里聚安全2016年报》发布,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全端安全方面应该注意的风险,但是 会描述阿里聚安全在业务安全防控方面做的這個努力和观点,帮助企业在建设互联网业务安全时,考虑安全策略和防护应该往哪部分倾斜。 

从16个行业分类分别选者了14个热门应用,共240个应用进行仿冒分析,发现89%的热门应用趋于稳定仿冒,总仿冒量高达12859个,平均每个应用的仿冒量达54个 多多,总感染设备量达2374万台。3月份的仿冒应用量大幅下降,符合黑灰产在春节假期前后的活动较少的规律。

为分析移动应用各行业的漏洞清况 ,人们人们人们在第三方应用市场分别下载了18个行业的Top10应用共计180个,使用阿里聚安全漏洞扫描引擎对这批样本进行漏洞扫描。18个行业的Top10应用中,98%的应用可不能不能 漏洞,总漏洞量14798个,平均每个应用有84个 多多漏洞。旅游、游戏、影音、社交类产品漏洞数量靠前。但是 高危漏洞占比最高的依次是办公类、工具类、游戏类和金融类。企业在移动数据化多多程序运行 过程中更需注意员工在使用那此行业APP时的安全威胁。

2016年在各种互联网业务活动中,羊毛党、黄牛党继续盛行,各种都那末安全防控的红包/优惠券促销活动,会被羊毛党以机器/小号等各种手段抢到手,基本70%~80%的促销优惠会被羊毛党薅走,原因商家和平台的促销优惠最终进入了羊毛党的口袋。黄牛党促使利用机器下单、人肉抢单,将大优惠让利产品瞬间抢到手,但是 高价格售出赚取差价。大规模的批量机器下单,可不能不能 对网站的流量带来压力,产生这类DDOS攻击,甚至促使造成网站瘫痪。此外使用简单维度的密码验证手法可能性演变成使用简化机器人猜测密码的技术,来逃避简单的策略防御。企业还要更多维度、指标,使用更简化的规则、模型进行防御。

编写:迅迪、凝琼@阿里聚安全