信息來源：FreeBuf  

阿里移動安全2015年第三季度報告重磅發(fā)布，基于阿里聚安全的監(jiān)測數(shù)據(jù)，我們對移動應(yīng)用的病毒、漏洞、仿冒三大類安全問題進行了分析，從數(shù)據(jù)來看，應(yīng)用安全問題仍然嚴(yán)峻。隨著互聯(lián)網(wǎng)的發(fā)展和智能設(shè)備的普及，未來以個人或家庭為中心的小生態(tài)將出現(xiàn)，它承載著人類生產(chǎn)生活的所有信息，未來的安全問題將面臨更大的挑戰(zhàn)。

1. 移動安全總體情況

病毒

? 第三季度，總中毒設(shè)備量高達4121萬，比第二季度增長16% 。阿里聚安全病毒庫新增樣本275.2萬，比第二季度增長40%。

? 第三季度，惡意扣費類病毒樣本量占比64%，比第二季度增長25%，主要是色情類病毒持續(xù)增長，其惡意扣費行為需引起重視。

漏洞

? 安卓16個行業(yè)的top10應(yīng)用中，平均每個應(yīng)用含73個漏洞，比第二季度增長38%，漏洞問題應(yīng)引起重視。

? 安卓16個行業(yè)top10應(yīng)用89%都有高風(fēng)險漏洞，且高風(fēng)險漏洞量占比約24%，比第二季度略有下降。

? 運營商、電商、社交等行業(yè)的top10應(yīng)用漏洞數(shù)量最多，漏洞量均超過700個。

仿冒

? 安卓16個行業(yè)top10應(yīng)用94%存在病毒仿冒，每個應(yīng)用平均含55個仿冒，比第二季度增長12%。

? 社交、游戲兩個行業(yè)的仿冒量最高，兩者top10應(yīng)用總仿冒量4477個，占16個行業(yè)總仿冒量的51%。

?2. 病毒情況?

2.1 病毒規(guī)模

? 2015年第三季度，安卓平臺平均7臺設(shè)備有1臺設(shè)備染毒，總中毒設(shè)備量高達4121萬，比第二季度增長16%。

? 2015年第三季度，阿里聚安全病毒掃描引擎共查殺病毒6293萬次，比第二季度增長40%，幫助用戶抵御了大量的病毒風(fēng)險。

? 阿里聚安全病毒樣本庫持續(xù)增長，2015年第三季度病毒樣本量新增275.2萬，比第二季度增長40%。

? 第三季度內(nèi)，病毒樣本月均增長率為12%，平穩(wěn)增長，但增長速度相比第二季度有所放緩。

2.2 病毒類型

? 惡意扣費類病毒樣本量占比最高，達64%，比第二季度上漲25%。第三季度，阿里移動安全團隊發(fā)現(xiàn)大量色情類病毒重新開始在某些論壇或應(yīng)用市場上泛濫，這類病毒具有惡意扣費行為，通過誘惑性的應(yīng)用圖標(biāo)或應(yīng)用名稱來刺激用戶下載，進而實施惡意行為，由于此類病毒能夠直接獲益，備受不法分子青睞，用戶需提高警惕。

? 流氓行為類病毒以20%的樣本占比，感染了55%的用戶群體，這類病毒匿名彈窗、惡意推送廣告、私自下載軟件等，對用戶體驗和手機安全造成危害。

2.3 感染用戶分布

? 廣東依然是受病毒感染用戶量最多的省份，其第三季度的設(shè)備感染量占全國總感染量的14%。由于廣東省經(jīng)濟發(fā)達，華為中興等本土手機品牌的發(fā)展，帶動本地市場的強勁消費，一人持有多部手機的現(xiàn)象逐漸普遍起來，這些因素都導(dǎo)致廣東手機用戶的高染毒量。病毒感染的區(qū)域總體呈現(xiàn)出以中東部發(fā)達省份為主，西部為輔的格局，病毒制造者重點依然瞄準(zhǔn)東部沿海手機用戶來掘金。

? 全國手機設(shè)備的平均中毒比例高達13.8%，即每7臺設(shè)備就有1臺染毒。設(shè)備中毒比例最高的省份集中在中西部，貴州、云南、新疆是中毒比例最高的三個省份。

? 貴州是最易被病毒感染的省份，中毒比例15%，每6臺手機就有1臺染毒，比全國平均值高8%。

2.4 典型病毒案例

? XcodeGhost是一個感染蘋果開發(fā)工具的病毒，該工具生成的惡意App成功繞過AppStore的檢測，可收集敏感信息及下發(fā)控制命令，從而執(zhí)行大量惡意行為，如打開網(wǎng)頁、發(fā)送短信等。

? XcodeGhost打破了蘋果的安全神話，其下架并公示了被污染的25大應(yīng)用，逾1億用戶受影響。事件發(fā)生后，阿里移動安全發(fā)布首篇分析報告，將此病毒命名為XcodeGhost，并持續(xù)關(guān)注和分析。

? 阿里巴巴所有核心應(yīng)用不受此病毒感染，原因是阿里聚安全App風(fēng)險掃描和漏洞檢測響應(yīng)機制，加上嚴(yán)謹(jǐn)?shù)陌踩鞒谭?wù)和統(tǒng)一集成打包上線平臺“摩天輪”，保障了阿里巴巴龐大業(yè)務(wù)的無線安全能力。

3. 漏洞情況

? 報告中漏洞分析數(shù)據(jù)依托于阿里聚安全漏洞掃描引擎，具有多樣化檢測技術(shù)，百萬級別漏洞庫，100%覆蓋已知漏洞，為開發(fā)者發(fā)現(xiàn)應(yīng)用的真正威脅。

? 漏洞分析選取的安卓16個行業(yè)包括：金融、電商、游戲、運營商、政務(wù)、社交、安全、辦公、工具、教育、旅游、攝影、生活、新聞、影音、閱讀。

3.1 應(yīng)用漏洞

? 安卓16個行業(yè)的top10應(yīng)用共有11630個漏洞，平均每個應(yīng)用有73個漏洞，比第二季度增長37%。

? 11630個漏洞中，Webview遠程代碼執(zhí)行漏洞占23%，比第二季度增長238%。Webview遠程代碼執(zhí)行漏洞引起的主要原因是調(diào)用了Webview的addJavaScriptInterface方法，該方法的安全風(fēng)險只在安卓sdk版本17及更高版本中才被google修復(fù)。 由于sdk 17以下的機型在市場上仍占20%，故很多開發(fā)者為了兼容性還將APP支持的最小版本設(shè)置在17以下，導(dǎo)致該漏洞量一直不降反升。

? 11630個風(fēng)險漏洞中，24%屬于高危漏洞、63%屬于中危漏洞，低危漏洞僅占13%。如高危的Webview遠程代碼執(zhí)行漏洞，攻擊者利用該漏洞可以根據(jù)客戶端能力為所欲為，如遠程控制用戶手機、盜取用戶隱私信息等。

3.2 Android系統(tǒng)漏洞

? 2015年Android系統(tǒng)漏洞呈爆發(fā)式增長，截至目前總漏洞量97個，同比上漲781%。2015年Android的系統(tǒng)漏洞量漲幅迅速，主要原因是關(guān)注移動安全的研究人員越來越多，很多以前被忽略的系統(tǒng)攻擊被發(fā)現(xiàn)并從中找到了漏洞提交給google修復(fù)，相信未來Android系統(tǒng)會變得越來越安全。

? 2015年Android系統(tǒng)漏洞中，代碼執(zhí)行漏洞占比最高，達26%，且多數(shù)系統(tǒng)漏洞具有組合型，單一漏洞可能存在多種風(fēng)險。

3.3 iOS系統(tǒng)漏洞

? 2015年iOS系統(tǒng)漏洞持續(xù)爆發(fā)，截至目前總漏洞量579個，同比上漲101%。2015年開始，蘋果更加重視安全方面的投入，發(fā)現(xiàn)和修復(fù)了大量漏洞，同時業(yè)界越來越多的白帽子加入到蘋果的安全研究中，發(fā)現(xiàn)漏洞并提交給蘋果修復(fù)，蘋果系統(tǒng)正在變得越來越安全。

? iOS漏洞中代碼執(zhí)行、拒絕服務(wù)攻擊占比最高，分別為26%、25%。

3.4 重點行業(yè)漏洞分析

? 以下7個重點行業(yè)的top10應(yīng)用共有4695個漏洞，其中25%屬于高危漏洞如Webview遠程代碼執(zhí)行、密鑰硬編碼等，可導(dǎo)致用戶隱私信息泄露、加密信息被破解。

? 運營商類top10應(yīng)用漏洞量最高，達988個，且高危漏洞占比近30%。由于運營商類應(yīng)用與用戶話費、流量、積分等息息相關(guān)，漏洞若被黑客利用，容易造成用戶資金受損，對用戶的潛在影響大。

? 金融類top10應(yīng)用共704個漏洞，但其高危漏洞占比最高，約34%，在7個重點行業(yè)中排名第一。由于金融類應(yīng)用直接與用戶財產(chǎn)相關(guān)，開發(fā)和需引起重視。

3.5 電商行業(yè)漏洞分析

? 電商類top10應(yīng)用共有802個漏洞，平均每個應(yīng)用含64個漏洞，其中約27%是Webview遠程代碼執(zhí)行高危漏洞，可導(dǎo)致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴(yán)重后果。

? 電商類top10應(yīng)用的802個漏洞中，約29%是高危漏洞，比16個行業(yè)的高危漏洞均值高21%，且電商類應(yīng)用與用戶資金密切相關(guān)，開發(fā)者應(yīng)保持密切關(guān)注，采取安全方案盡快修復(fù)危險漏洞，確保用戶利益和企業(yè)信譽不受影響。

3.6 金融行業(yè)漏洞分析

? 金融類top10應(yīng)用有704個漏洞，平均每個含70個漏洞，其中22%是Webview遠程代碼執(zhí)行高危漏洞，可導(dǎo)致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴(yán)重后果。

? 金融類top10應(yīng)用的704個漏洞中，約34%是高危漏洞，比16個行業(yè)的高危漏洞均值高42%，在7個重點行業(yè)中高危漏洞最多。由于金融類應(yīng)用與用戶財產(chǎn)息息相關(guān)，存在的漏洞隱患給用戶財產(chǎn)帶來巨大潛在風(fēng)險。

3.7 游戲行業(yè)漏洞分析

? 游戲類top10應(yīng)用有549個漏洞，平均每個應(yīng)用含55個漏洞。其中29%是Webview遠程代碼執(zhí)行高危漏洞，可導(dǎo)致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴(yán)重后果。

? 游戲類top10應(yīng)用的549個漏洞中，約17%是高危漏洞，比16個行業(yè)的高危漏洞均值低29%，在7個重點行業(yè)中高危漏洞最少。游戲類應(yīng)用開發(fā)周期短，資金變現(xiàn)快，用戶下載量大，存在的漏洞風(fēng)險亦不容忽視。

3.8 典型漏洞案例

? 9月發(fā)布的iOS 9升級中，Apple修復(fù)了阿里移動安全發(fā)現(xiàn)的三處漏洞：CVE-2015-5838,CVE-2015-5834, CVE-2015-5868。

? 其中CVE-2015-5838漏洞可讓黑客在非越獄的iPhone 6上進行釣魚攻擊，并盜取Apple ID的密碼。由于仿冒的App Store登錄框與原版一模一樣，用戶很難察覺，輸入Apple ID的密碼后，導(dǎo)致賬號被盜。

? CVE-2015-5834和CVE-2015-5868是kernel層的信息泄露和代碼執(zhí)行漏洞，黑客組合兩者可以獲取內(nèi)核信息，執(zhí)行任意代碼。

4. 仿冒情況

? 報告中仿冒分析數(shù)據(jù)依托于阿里聚安全仿冒檢測引擎，可對全網(wǎng)應(yīng)用渠道進行持續(xù)監(jiān)測，收集仿冒應(yīng)用、二次打包等各種威脅。

? 仿冒分析選取的安卓16個行業(yè)包括：金融、電商、游戲、運營商、政務(wù)、社交、安全、辦公、工具、教育、旅游、攝影、生活、新聞、影音、閱讀。

4.1 仿冒規(guī)模

? 安卓16個行業(yè)top10應(yīng)用96%存在病毒仿冒，總病毒仿冒量高達8796個，平均每個應(yīng)用的仿冒量達57個，比第二季度增長12%。

? 仿冒應(yīng)用使用的手段中，單純仿冒正版軟件應(yīng)用名稱的仿冒量占64%（5653個），單純仿冒正版軟件包名的仿冒量占19%（1672個），兩者結(jié)合的仿冒量占17%（1471個），可見不良開發(fā)者最喜歡使用正版應(yīng)用的名稱來開發(fā)仿冒應(yīng)用。

? 病毒仿冒應(yīng)用利用與正版相似的特征，誘導(dǎo)用戶下載安裝，之后實施相應(yīng)的病毒行為，對用戶的危害極大，用戶需謹(jǐn)慎。

4.2 仿冒風(fēng)險

? 16個行業(yè)top10應(yīng)用的8796個病毒仿冒中，惡意扣費類病毒軟件占比高達43%，比第二季度增長18%。該類病毒應(yīng)用未經(jīng)用戶允許私自發(fā)送短信和扣費指令，對用戶的手機，資費造成一定風(fēng)險，需謹(jǐn)慎使用。

? 流氓行為類病毒仿冒占比32%，比第二季度下降19%。該類病毒會匿名彈窗、惡意推送廣告，誘導(dǎo)用戶下載廣告應(yīng)用，嚴(yán)重影響用戶操作體驗。

4.3 重點行業(yè)仿冒分析

? 以下7個行業(yè)top10應(yīng)用共有5234個病毒仿冒，約占16個行業(yè)總仿冒量的60%，其中社交、游戲類應(yīng)用是病毒仿冒的重災(zāi)區(qū)。

? 社交、金融、運營商行業(yè)的高危病毒仿冒占比超90%，對正版應(yīng)用開發(fā)者和用戶都會造成巨大危害，建議正版開發(fā)商使用相關(guān)安全方案如阿里聚安全來自測應(yīng)用的仿冒情況，并及早聯(lián)系各渠道下架。

4.4 游戲行業(yè)仿冒分析

? 100%的top10游戲類應(yīng)用含病毒仿冒軟件，總仿冒量1604個，與第二季度持平，其中38%是高風(fēng)險的仿冒病毒應(yīng)用。

? 1604個病毒仿冒應(yīng)用中，53%的仿冒應(yīng)用具有流氓行為，在游戲中彈出騷擾廣告、匿名彈窗等，嚴(yán)重影響用戶體驗。此外35%的仿冒應(yīng)用具有惡意扣費行為，容易導(dǎo)致用戶手機流量消耗，或游戲賬戶中的資金受損。

? 游戲應(yīng)用以數(shù)量多、變現(xiàn)快，收益高的特性，易受不良開發(fā)者仿冒，影響正版開發(fā)者和用戶的利益，其仿冒問題應(yīng)引起重視。

4.5 金融行業(yè)仿冒分析

? 100%的top10金融類應(yīng)用含病毒仿冒軟件，總仿冒量394個，比第二季度增長166%。

? 394個病毒仿冒應(yīng)用中，94%是高風(fēng)險病毒應(yīng)用，具有隱私竊取、短信劫持、惡意扣費等行為。由于金融類應(yīng)用涉及用戶資產(chǎn)信息，這些高風(fēng)險仿冒應(yīng)用對用戶的危害極大，需提高警惕。

? 394個病毒仿冒應(yīng)用中，48%的仿冒應(yīng)用有隱私竊取行為，容易造成用戶隱私信息泄露，進而影響金融賬戶資金等。

4.6 電商行業(yè)仿冒分析

? 90%的top10電商類應(yīng)用含病毒仿冒軟件，總仿冒量123個，且69%是高風(fēng)險病毒應(yīng)用，具有遠程控制、惡意扣費等行為。由于電商類應(yīng)用涉及用戶網(wǎng)購行為、賬戶資產(chǎn)等敏感信息，這些高風(fēng)險仿冒應(yīng)用對用戶的危害極大，需提高警惕。

? 123個病毒仿冒應(yīng)用中，43%的仿冒應(yīng)用有遠程控制行為，容易導(dǎo)致用戶手機被黑客控制，導(dǎo)致隱私信息泄露、賬號被盜等風(fēng)險。

4.7 典型仿冒案例

? “人人紅包”應(yīng)用在9月份開始爆發(fā)，兩個月時間已感染用戶量1.6萬，且10月份感染量上漲趨勢迅猛。不法分子通過推送節(jié)日祝福短信如“xxx，我給你發(fā)了一份中秋紅包，點擊鏈接下載安裝就可領(lǐng)取了?！钡接脩羰謾C上，誘導(dǎo)用戶點擊下載安裝。

? 一方面，該病毒安裝后會隱藏圖標(biāo)不讓用戶察覺，并私自將用戶的收發(fā)短信、通訊錄等信息發(fā)送到遠程服務(wù)器，還會私自下載推廣軟件，惡意消耗手機流量，甚至對用戶的資產(chǎn)帶來風(fēng)險。

? 另一方面，該病毒會向通訊錄聯(lián)系人群發(fā)短信進行傳播，好友收到后看到是認(rèn)識的人發(fā)來的短信，誤以為真，打開短信中的鏈接下載安裝后被感染，形成放射性傳播，導(dǎo)致感染量迅速上升，建議用戶提高警惕。

5. 阿里聚安全解決方案

針對移動應(yīng)用存在的安全問題，阿里聚安全提供完整的應(yīng)用安全解決方案，包括發(fā)現(xiàn)風(fēng)險（惡意代碼檢測、漏洞檢測、仿冒檢測）、安全增強（應(yīng)用加固、安全組件）、風(fēng)險持續(xù)監(jiān)控等功能，保護移動應(yīng)用全生命周期的安全風(fēng)險可控。

6. 移動安全的發(fā)展趨勢

移動互聯(lián)網(wǎng)的病毒、漏洞、仿冒等安全問題由來已久，且業(yè)界已經(jīng)有較多成熟的獨立解決方案，但隨著互聯(lián)網(wǎng)的發(fā)展、智能設(shè)備的普及，未來以個人或家庭為中心的小生態(tài)將出現(xiàn)，它承載著人類生產(chǎn)生活的所有信息，而安全將面臨更大的挑戰(zhàn)。

1) 智能設(shè)備蓬勃發(fā)展，萬物互聯(lián)的美好愿景背后，安全問題日益凸顯

據(jù)Gartner和麥肯錫的預(yù)測數(shù)據(jù)顯示，2015年全球連接到互聯(lián)網(wǎng)上的設(shè)備將達49億臺，2020年或?qū)⒊^260億臺，智能汽車、手機、手環(huán)、醫(yī)療設(shè)備、家電等智能設(shè)備逐漸普及到人類生產(chǎn)生活中，他們在為人類帶來便利生活的同時，也存在巨大的安全隱患，設(shè)備廠商不夠重視安全、智能設(shè)備系統(tǒng)多樣化等都讓安全問題日益凸顯，這種案例已經(jīng)屢見不鮮。如2015年7月，菲亞特克萊斯勒美國公司宣布召回140萬輛配有Uconnect車載系統(tǒng)的汽車，黑客可通過遠程軟件向該車載系統(tǒng)發(fā)送指令，進行各種操作如減速、關(guān)閉引擎、讓剎車失靈等，嚴(yán)重危害人身安全。2015年8月的黑帽大會和世界黑客大會上，包括汽車在內(nèi)的各種智能設(shè)備都被爆出安全漏洞，黑客利用安全漏洞可以控制智能手機、汽車、交通紅綠燈，甚至搭載有智能狙擊鏡的高級狙擊步槍，讓人驚嘆不已。

2) 互聯(lián)網(wǎng)安全邊界日益模糊，挑戰(zhàn)越來越大

IOT的發(fā)展給個人生活和企業(yè)帶來巨大便利，萬物互聯(lián)及相關(guān)產(chǎn)業(yè)已成為全球科技界最具發(fā)展?jié)摿Φ念I(lǐng)域?？焖侔l(fā)展的互聯(lián)網(wǎng)、多樣化的智能設(shè)備和系統(tǒng)、不夠重視安全設(shè)計的設(shè)備生產(chǎn)等問題逐漸導(dǎo)致風(fēng)險擴大，主要表現(xiàn)在：

? 安全的復(fù)雜性：物理實體和信息數(shù)據(jù)之間的壁壘正在被打破，安全不再局限于網(wǎng)絡(luò)中虛擬信息本身，財產(chǎn)、隱私、甚至生命都已經(jīng)成為安全的一部分，互聯(lián)網(wǎng)安全已經(jīng)不僅僅存在于互聯(lián)網(wǎng)上，而在于所聯(lián)的萬物。

? 安全防護的挑戰(zhàn)：對企業(yè)來說哪些位置需要安全控制、哪些邊界需要劃清、如何部署有效的控制，都需要專業(yè)的風(fēng)險發(fā)現(xiàn)和控制方案。

? 硬件問題的修復(fù)不像在服務(wù)器或桌面系統(tǒng)中升級安裝補丁那么方便，大多數(shù)智能設(shè)備的修復(fù)和緩解將變得更為復(fù)雜，弄清楚如何快速修復(fù)多樣性設(shè)備的系統(tǒng)安全將成為挑戰(zhàn)。

未來，互聯(lián)網(wǎng)的發(fā)展使安全風(fēng)險無處不在，如何發(fā)現(xiàn)并解決好這些安全問題，保護廣大用戶的權(quán)益是阿里巴巴移動安全團隊一直努力的方向，面對龐大復(fù)雜的萬物互聯(lián)世界，我們會與智能硬件、互聯(lián)網(wǎng)服務(wù)平臺等產(chǎn)業(yè)鏈相關(guān)廠商緊密配合，提供有針對性的安全方案，推動行業(yè)平穩(wěn)健康發(fā)展。

7. 版權(quán)聲明

本季度報告由阿里移動安全團隊撰寫，數(shù)據(jù)來源于阿里聚安全的監(jiān)測數(shù)據(jù)。報告中所有的文字、圖片、表格所有權(quán)歸阿里移動安全所有，任何組織或個人，不得使用本報告中的信息用于任何商業(yè)目的、復(fù)制、改編或發(fā)布。若需引用，請注明出處，且不得對本季報進行有悖原意的引用或改版。

*作者：阿里移動安全（企業(yè)賬號），轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM)