《阿里聚安全2016年報》發布，本報告重點聚焦在2016年阿里聚安全所關注的移動安全及數據風控上呈現出來的安全風險，在移動安全方面重點分析了病毒、仿冒、漏洞三部分，幫助用戶了解業務安全端安全方面應該注意的風險，之后會描述阿里聚安全在業務安全防控方面做的一些努力和觀點，幫助企業在建設互聯網業務安全時，考慮安全策略和防護應該往哪部分傾斜。

　　Android平臺約10臺設備中就有1臺染毒，設備感染率達10%

　　2016年度，Android平臺約10臺設備中就有1臺染毒，設備感染率達10%，阿里聚安全病毒掃描引擎共查殺病毒1.2億，病毒木馬的查殺幫助用戶抵御了大量的潛在風險。

　　每天新增近9000個新移動病毒樣本，每10秒生成1個

　　阿里聚安全移動病毒樣本庫2016年新增病毒樣本達3284524個，平均每天新增9000個樣本，這相當于每10秒生成一個病毒樣本.Android用戶必須時刻警惕在官方場合下載應用。

　　2016年，我們發現“惡意扣費”類在病毒樣本量占比最高，達72%。該類病毒應用未經用戶允許私自發送短信和扣費指令，對用戶手機的資費造成一定風險，而在客戶端檢測到樣本的“流氓行為”占比最高，“惡意扣費”其次。

　　89%的熱門應用存在仿冒

　　從16個行業分類分別選取了15個熱門應用，共240個應用進行仿冒分析，發現89%的熱門應用存在仿冒，總仿冒量高達12859個，平均每個應用的仿冒量達54個，總感染設備量達2374萬臺。3月份的仿冒應用量大幅下降，符合黑灰產在春節假期前后的活動較少的規律。

　　金融行業銀行類仿冒居多,某銀行仿冒應用全部具有短信劫持行為

　　金融行業選取銀行、錢包和理財3個子分類,分別選取10個熱門應用進行分析,共發現仿冒應用407個。銀行類仿冒應用占53%,錢包類仿冒應用占36%,理財類仿冒應用占11%。

　　在本次分析中,某銀行共發現30個仿冒應用,全部具有短信劫持行為,感染設備量為33863臺,感染用戶主要分布在廣東、北京和江蘇等省份。

　　18個行業的Top10應用中98%的應用都存在漏洞，但Webview遠程執行代碼漏洞迅速下降

　　為分析移動應用各行業的漏洞情況，我們在第三方應用市場分別下載了18個行業的Top10應用共計180個，使用阿里聚安全漏洞掃描引擎對這批樣本進行漏洞掃描。18個行業的Top10應用中，98%的應用都有漏洞，總漏洞量14798個，平均每個應用有82個漏洞。旅游、游戲、影音、社交類產品漏洞數量靠前。但是高危漏洞占比最高的依次是辦公類、工具類、游戲類和金融類。企業在移動數據化進程過程中更需注意員工在使用這些行業APP時的安全威脅。

　　其中漏洞類型主要集成中“拒絕服務”、“Webview明文存儲密碼”、“密鑰硬編碼風險”及“AES/DES弱加密風險”。

　　這里建議企業用戶在開發App過程中，通過阿里聚安全的漏洞掃描來檢測應用是否具有密鑰硬編碼風險，使用阿里聚安全的安全組件中的安全加密功能保護開發者密鑰與加密算法實現，保證密鑰的安全性，實現安全的加解密操作及安全簽名功能。

　　羊毛黨、黃牛黨在2016年成為互聯網業務發展過程中最大的毒瘤

　　2016年在各種互聯網業務活動中，羊毛黨、黃牛黨繼續盛行，各種沒有安全防控的紅包/優惠券促銷活動，會被羊毛黨以機器/小號等各種手段搶到手，基本70%~80%的促銷優惠會被羊毛黨薅走，導致商家和平臺的促銷優惠最終進入了羊毛黨的口袋。黃牛黨能夠利用機器下單、人肉搶單，將大優惠讓利產品瞬間搶到手，然后高價格售出賺取差價。大規模的批量機器下單，還會對網站的流量帶來壓力，產生類似DDOS攻擊，甚至能夠造成網站癱瘓。此外使用簡單維度的密碼驗證手法已經演變成使用復雜機器人猜測密碼的技術，來逃避簡單的策略防御。企業需要更多維度、指標，使用更復雜的規則、模型進行防御。

　　阿里聚安全的人機識別系統，接口調用是億級別，而誤識別的數量只有個位數。除了誤識別，我們的技術難點還在于如何找出漏報。一般情況下，會對整體用戶流量的“大盤”進行監控，一旦監測到注冊或登錄流量異常，我們的安全攻防技術專家就會緊急響應。這種響應速度是小時級別的。

　　另外黑產通過刷庫撞庫也體現出業務時序的不同而不同。以2016年Q4為例，在雙十一之前，黑產主要精力用于各平臺的活動作弊，而過了雙十一，刷庫撞庫風險就開始持續走高，穩定占據了所有風險的一半以上。

　　2016年移動欺詐損失超數億美金

　　目前移動應用通過資源換量、搜索平臺、廣告網絡及代理商、直接推廣及自然安裝等渠道來推廣和互動。但推廣者發現投入的費用反映的推廣數據良好,但是沉淀到真是用戶卻表現非常不樂觀。大量的渠道欺詐使得移動應用推廣者損失巨大,根據某平臺分析,2016年移動欺詐金額已經超數億美金。

　　常用移動欺詐通過機刷、模擬器、改機工具等手段作弊,如通過一鍵生成改機軟件修改手機硬件參數IMEI、MAC、藍牙地址等,偽造新手機多次安裝激活App;通過腳本批量操作各種安卓模擬器如天天模擬器、海馬玩模擬器、夜神模擬器等,反復進行機刷-App安裝-App激活等操作。阿里聚安全使用穩定的設備指紋技術+大數據分析,能準備識別各種作弊手段和作弊設備。為用戶節約推廣成本、時間成本、開發成本,保障推廣者獲取真實的用戶數據為業務服務。

　　創造縱深的有適應力的數字化業務系統

　　互聯網+或者企業在面對互聯網業務發展過程中的安全威脅時，實施數字化業務系統適應力所需的實踐，對傳統公司具有極大的挑戰，在面對各種業務部門參與、協作的過程中，需要區分業務風險優先級，關注縱深防御節點，做出平衡業務的取舍，才能使業務安全部門更敏捷，更具有彈性。

責任編輯：韓希宇