安全動態(tài)

阿里移動發(fā)布2015第三季度安全報告

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2015-12-07    瀏覽次數(shù):
 

信息來源:FreeBuf  

阿里移動安全2015年第三季度報告重磅發(fā)布,基于阿里聚安全的監(jiān)測數(shù)據(jù),我們對移動應(yīng)用的病毒、漏洞、仿冒三大類安全問題進行了分析,從數(shù)據(jù)來看,應(yīng)用安全問題仍然嚴峻。隨著互聯(lián)網(wǎng)的發(fā)展和智能設(shè)備的普及,未來以個人或家庭為中心的小生態(tài)將出現(xiàn),它承載著人類生產(chǎn)生活的所有信息,未來的安全問題將面臨更大的挑戰(zhàn)。

1. 移動安全總體情況

病毒

? 第三季度,總中毒設(shè)備量高達4121萬,比第二季度增長16% 。阿里聚安全病毒庫新增樣本275.2萬,比第二季度增長40%。

? 第三季度,惡意扣費類病毒樣本量占比64%,比第二季度增長25%,主要是色情類病毒持續(xù)增長,其惡意扣費行為需引起重視。

漏洞

? 安卓16個行業(yè)的top10應(yīng)用中,平均每個應(yīng)用含73個漏洞,比第二季度增長38%,漏洞問題應(yīng)引起重視。

? 安卓16個行業(yè)top10應(yīng)用89%都有高風險漏洞,且高風險漏洞量占比約24%,比第二季度略有下降。

? 運營商、電商、社交等行業(yè)的top10應(yīng)用漏洞數(shù)量最多,漏洞量均超過700個。

仿冒

? 安卓16個行業(yè)top10應(yīng)用94%存在病毒仿冒,每個應(yīng)用平均含55個仿冒,比第二季度增長12%。

? 社交、游戲兩個行業(yè)的仿冒量最高,兩者top10應(yīng)用總仿冒量4477個,占16個行業(yè)總仿冒量的51%。

?2. 病毒情況?


2.1 病毒規(guī)模

? 2015年第三季度,安卓平臺平均7臺設(shè)備有1臺設(shè)備染毒,總中毒設(shè)備量高達4121萬,比第二季度增長16%。

? 2015年第三季度,阿里聚安全病毒掃描引擎共查殺病毒6293萬次,比第二季度增長40%,幫助用戶抵御了大量的病毒風險。


? 阿里聚安全病毒樣本庫持續(xù)增長,2015年第三季度病毒樣本量新增275.2萬,比第二季度增長40%。

? 第三季度內(nèi),病毒樣本月均增長率為12%,平穩(wěn)增長,但增長速度相比第二季度有所放緩。


2.2 病毒類型

惡意扣費類病毒樣本量占比最高,達64%,比第二季度上漲25%。第三季度,阿里移動安全團隊發(fā)現(xiàn)大量色情類病毒重新開始在某些論壇或應(yīng)用市場上泛濫,這類病毒具有惡意扣費行為,通過誘惑性的應(yīng)用圖標或應(yīng)用名稱來刺激用戶下載,進而實施惡意行為,由于此類病毒能夠直接獲益,備受不法分子青睞,用戶需提高警惕。

? 流氓行為類病毒以20%的樣本占比,感染了55%的用戶群體,這類病毒匿名彈窗、惡意推送廣告、私自下載軟件等,對用戶體驗和手機安全造成危害。

2.3 感染用戶分布

廣東依然是受病毒感染用戶量最多的省份,其第三季度的設(shè)備感染量占全國總感染量的14%。由于廣東省經(jīng)濟發(fā)達,華為中興等本土手機品牌的發(fā)展,帶動本地市場的強勁消費,一人持有多部手機的現(xiàn)象逐漸普遍起來,這些因素都導致廣東手機用戶的高染毒量。病毒感染的區(qū)域總體呈現(xiàn)出以中東部發(fā)達省份為主,西部為輔的格局,病毒制造者重點依然瞄準東部沿海手機用戶來掘金。


全國手機設(shè)備的平均中毒比例高達13.8%,即每7臺設(shè)備就有1臺染毒。設(shè)備中毒比例最高的省份集中在中西部,貴州、云南、新疆是中毒比例最高的三個省份。

? 貴州是最易被病毒感染的省份,中毒比例15%,每6臺手機就有1臺染毒,比全國平均值高8%。

2.4 典型病毒案例

XcodeGhost是一個感染蘋果開發(fā)工具的病毒,該工具生成的惡意App成功繞過AppStore的檢測,可收集敏感信息及下發(fā)控制命令,從而執(zhí)行大量惡意行為,如打開網(wǎng)頁、發(fā)送短信等。

? XcodeGhost打破了蘋果的安全神話,其下架并公示了被污染的25大應(yīng)用,逾1億用戶受影響。事件發(fā)生后,阿里移動安全發(fā)布首篇分析報告,將此病毒命名為XcodeGhost,并持續(xù)關(guān)注和分析。

阿里巴巴所有核心應(yīng)用不受此病毒感染,原因是阿里聚安全App風險掃描和漏洞檢測響應(yīng)機制,加上嚴謹?shù)陌踩鞒谭?wù)和統(tǒng)一集成打包上線平臺“摩天輪”,保障了阿里巴巴龐大業(yè)務(wù)的無線安全能力。

3. 漏洞情況

? 報告中漏洞分析數(shù)據(jù)依托于阿里聚安全漏洞掃描引擎,具有多樣化檢測技術(shù),百萬級別漏洞庫,100%覆蓋已知漏洞,為開發(fā)者發(fā)現(xiàn)應(yīng)用的真正威脅。

? 漏洞分析選取的安卓16個行業(yè)包括:金融、電商、游戲、運營商、政務(wù)、社交、安全、辦公、工具、教育、旅游、攝影、生活、新聞、影音、閱讀。

3.1 應(yīng)用漏洞

? 安卓16個行業(yè)的top10應(yīng)用共有11630個漏洞,平均每個應(yīng)用有73個漏洞,比第二季度增長37%

? 11630個漏洞中,Webview遠程代碼執(zhí)行漏洞占23%,比第二季度增長238%。Webview遠程代碼執(zhí)行漏洞引起的主要原因是調(diào)用了Webview的addJavaScriptInterface方法,該方法的安全風險只在安卓sdk版本17及更高版本中才被google修復。 由于sdk 17以下的機型在市場上仍占20%,故很多開發(fā)者為了兼容性還將APP支持的最小版本設(shè)置在17以下,導致該漏洞量一直不降反升。

? 11630個風險漏洞中,24%屬于高危漏洞、63%屬于中危漏洞,低危漏洞僅占13%。如高危的Webview遠程代碼執(zhí)行漏洞,攻擊者利用該漏洞可以根據(jù)客戶端能力為所欲為,如遠程控制用戶手機、盜取用戶隱私信息等。

3.2 Android系統(tǒng)漏洞

? 2015年Android系統(tǒng)漏洞呈爆發(fā)式增長,截至目前總漏洞量97個,同比上漲781%。2015年Android的系統(tǒng)漏洞量漲幅迅速,主要原因是關(guān)注移動安全的研究人員越來越多,很多以前被忽略的系統(tǒng)攻擊被發(fā)現(xiàn)并從中找到了漏洞提交給google修復,相信未來Android系統(tǒng)會變得越來越安全。

? 2015年Android系統(tǒng)漏洞中,代碼執(zhí)行漏洞占比最高,達26%,且多數(shù)系統(tǒng)漏洞具有組合型,單一漏洞可能存在多種風險。

3.3 iOS系統(tǒng)漏洞

? 2015年iOS系統(tǒng)漏洞持續(xù)爆發(fā),截至目前總漏洞量579個,同比上漲101%。2015年開始,蘋果更加重視安全方面的投入,發(fā)現(xiàn)和修復了大量漏洞,同時業(yè)界越來越多的白帽子加入到蘋果的安全研究中,發(fā)現(xiàn)漏洞并提交給蘋果修復,蘋果系統(tǒng)正在變得越來越安全。

? iOS漏洞中代碼執(zhí)行、拒絕服務(wù)攻擊占比最高,分別為26%、25%。

3.4 重點行業(yè)漏洞分析

? 以下7個重點行業(yè)的top10應(yīng)用共有4695個漏洞,其中25%屬于高危漏洞如Webview遠程代碼執(zhí)行、密鑰硬編碼等,可導致用戶隱私信息泄露、加密信息被破解。

運營商類top10應(yīng)用漏洞量最高,達988個,且高危漏洞占比近30%。由于運營商類應(yīng)用與用戶話費、流量、積分等息息相關(guān),漏洞若被黑客利用,容易造成用戶資金受損,對用戶的潛在影響大。

金融類top10應(yīng)用共704個漏洞,但其高危漏洞占比最高,約34%,在7個重點行業(yè)中排名第一。由于金融類應(yīng)用直接與用戶財產(chǎn)相關(guān),開發(fā)和需引起重視。

3.5 電商行業(yè)漏洞分析

? 電商類top10應(yīng)用共有802個漏洞,平均每個應(yīng)用含64個漏洞,其中約27%是Webview遠程代碼執(zhí)行高危漏洞,可導致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴重后果。

? 電商類top10應(yīng)用的802個漏洞中,約29%是高危漏洞,比16個行業(yè)的高危漏洞均值高21%,且電商類應(yīng)用與用戶資金密切相關(guān),開發(fā)者應(yīng)保持密切關(guān)注,采取安全方案盡快修復危險漏洞,確保用戶利益和企業(yè)信譽不受影響。

3.6 金融行業(yè)漏洞分析

? 金融類top10應(yīng)用有704個漏洞,平均每個含70個漏洞,其中22%是Webview遠程代碼執(zhí)行高危漏洞,可導致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴重后果。

? 金融類top10應(yīng)用的704個漏洞中,約34%是高危漏洞,比16個行業(yè)的高危漏洞均值高42%,在7個重點行業(yè)中高危漏洞最多。由于金融類應(yīng)用與用戶財產(chǎn)息息相關(guān),存在的漏洞隱患給用戶財產(chǎn)帶來巨大潛在風險。

3.7 游戲行業(yè)漏洞分析

? 游戲類top10應(yīng)用有549個漏洞,平均每個應(yīng)用含55個漏洞。其中29%是Webview遠程代碼執(zhí)行高危漏洞,可導致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴重后果。

? 游戲類top10應(yīng)用的549個漏洞中,約17%是高危漏洞,比16個行業(yè)的高危漏洞均值低29%,在7個重點行業(yè)中高危漏洞最少。游戲類應(yīng)用開發(fā)周期短,資金變現(xiàn)快,用戶下載量大,存在的漏洞風險亦不容忽視。

3.8 典型漏洞案例

? 9月發(fā)布的iOS 9升級中,Apple修復了阿里移動安全發(fā)現(xiàn)的三處漏洞:CVE-2015-5838,CVE-2015-5834, CVE-2015-5868。

? 其中CVE-2015-5838漏洞可讓黑客在非越獄的iPhone 6上進行釣魚攻擊,并盜取Apple ID的密碼。由于仿冒的App Store登錄框與原版一模一樣,用戶很難察覺,輸入Apple ID的密碼后,導致賬號被盜。

? CVE-2015-5834和CVE-2015-5868是kernel層的信息泄露和代碼執(zhí)行漏洞,黑客組合兩者可以獲取內(nèi)核信息,執(zhí)行任意代碼。

4. 仿冒情況


? 報告中仿冒分析數(shù)據(jù)依托于阿里聚安全仿冒檢測引擎,可對全網(wǎng)應(yīng)用渠道進行持續(xù)監(jiān)測,收集仿冒應(yīng)用、二次打包等各種威脅。

? 仿冒分析選取的安卓16個行業(yè)包括:金融、電商、游戲、運營商、政務(wù)、社交、安全、辦公、工具、教育、旅游、攝影、生活、新聞、影音、閱讀。

4.1 仿冒規(guī)模

? 安卓16個行業(yè)top10應(yīng)用96%存在病毒仿冒,總病毒仿冒量高達8796個,平均每個應(yīng)用的仿冒量達57個,比第二季度增長12%。

? 仿冒應(yīng)用使用的手段中,單純仿冒正版軟件應(yīng)用名稱的仿冒量占64%(5653個),單純仿冒正版軟件包名的仿冒量占19%(1672個),兩者結(jié)合的仿冒量占17%(1471個),可見不良開發(fā)者最喜歡使用正版應(yīng)用的名稱來開發(fā)仿冒應(yīng)用。

? 病毒仿冒應(yīng)用利用與正版相似的特征,誘導用戶下載安裝,之后實施相應(yīng)的病毒行為,對用戶的危害極大,用戶需謹慎。

4.2 仿冒風險

? 16個行業(yè)top10應(yīng)用的8796個病毒仿冒中,惡意扣費類病毒軟件占比高達43%,比第二季度增長18%。該類病毒應(yīng)用未經(jīng)用戶允許私自發(fā)送短信和扣費指令,對用戶的手機,資費造成一定風險,需謹慎使用。

? 流氓行為類病毒仿冒占比32%,比第二季度下降19%。該類病毒會匿名彈窗、惡意推送廣告,誘導用戶下載廣告應(yīng)用,嚴重影響用戶操作體驗。

4.3 重點行業(yè)仿冒分析

? 以下7個行業(yè)top10應(yīng)用共有5234個病毒仿冒,約占16個行業(yè)總仿冒量的60%,其中社交、游戲類應(yīng)用是病毒仿冒的重災區(qū)。

? 社交、金融、運營商行業(yè)的高危病毒仿冒占比超90%,對正版應(yīng)用開發(fā)者和用戶都會造成巨大危害,建議正版開發(fā)商使用相關(guān)安全方案如阿里聚安全來自測應(yīng)用的仿冒情況,并及早聯(lián)系各渠道下架。

4.4 游戲行業(yè)仿冒分析

100%的top10游戲類應(yīng)用含病毒仿冒軟件,總仿冒量1604個,與第二季度持平,其中38%是高風險的仿冒病毒應(yīng)用。

? 1604個病毒仿冒應(yīng)用中,53%的仿冒應(yīng)用具有流氓行為,在游戲中彈出騷擾廣告、匿名彈窗等,嚴重影響用戶體驗。此外35%的仿冒應(yīng)用具有惡意扣費行為,容易導致用戶手機流量消耗,或游戲賬戶中的資金受損。

? 游戲應(yīng)用以數(shù)量多、變現(xiàn)快,收益高的特性,易受不良開發(fā)者仿冒,影響正版開發(fā)者和用戶的利益,其仿冒問題應(yīng)引起重視。

4.5 金融行業(yè)仿冒分析

100%的top10金融類應(yīng)用含病毒仿冒軟件,總仿冒量394個,比第二季度增長166%。

? 394個病毒仿冒應(yīng)用中,94%是高風險病毒應(yīng)用,具有隱私竊取、短信劫持、惡意扣費等行為。由于金融類應(yīng)用涉及用戶資產(chǎn)信息,這些高風險仿冒應(yīng)用對用戶的危害極大,需提高警惕。

? 394個病毒仿冒應(yīng)用中,48%的仿冒應(yīng)用有隱私竊取行為,容易造成用戶隱私信息泄露,進而影響金融賬戶資金等。

4.6 電商行業(yè)仿冒分析

90%的top10電商類應(yīng)用含病毒仿冒軟件,總仿冒量123個,且69%是高風險病毒應(yīng)用,具有遠程控制、惡意扣費等行為。由于電商類應(yīng)用涉及用戶網(wǎng)購行為、賬戶資產(chǎn)等敏感信息,這些高風險仿冒應(yīng)用對用戶的危害極大,需提高警惕。

? 123個病毒仿冒應(yīng)用中,43%的仿冒應(yīng)用有遠程控制行為,容易導致用戶手機被黑客控制,導致隱私信息泄露、賬號被盜等風險。

4.7 典型仿冒案例

“人人紅包”應(yīng)用在9月份開始爆發(fā),兩個月時間已感染用戶量1.6萬,且10月份感染量上漲趨勢迅猛。不法分子通過推送節(jié)日祝福短信如“xxx,我給你發(fā)了一份中秋紅包,點擊鏈接下載安裝就可領(lǐng)取了?!钡接脩羰謾C上,誘導用戶點擊下載安裝。

? 一方面,該病毒安裝后會隱藏圖標不讓用戶察覺,并私自將用戶的收發(fā)短信、通訊錄等信息發(fā)送到遠程服務(wù)器,還會私自下載推廣軟件,惡意消耗手機流量,甚至對用戶的資產(chǎn)帶來風險。

? 另一方面,該病毒會向通訊錄聯(lián)系人群發(fā)短信進行傳播,好友收到后看到是認識的人發(fā)來的短信,誤以為真,打開短信中的鏈接下載安裝后被感染,形成放射性傳播,導致感染量迅速上升,建議用戶提高警惕。

5. 阿里聚安全解決方案

針對移動應(yīng)用存在的安全問題,阿里聚安全提供完整的應(yīng)用安全解決方案,包括發(fā)現(xiàn)風險(惡意代碼檢測、漏洞檢測、仿冒檢測)、安全增強(應(yīng)用加固、安全組件)、風險持續(xù)監(jiān)控等功能,保護移動應(yīng)用全生命周期的安全風險可控。

6. 移動安全的發(fā)展趨勢

移動互聯(lián)網(wǎng)的病毒、漏洞、仿冒等安全問題由來已久,且業(yè)界已經(jīng)有較多成熟的獨立解決方案,但隨著互聯(lián)網(wǎng)的發(fā)展、智能設(shè)備的普及,未來以個人或家庭為中心的小生態(tài)將出現(xiàn),它承載著人類生產(chǎn)生活的所有信息,而安全將面臨更大的挑戰(zhàn)。

1) 智能設(shè)備蓬勃發(fā)展,萬物互聯(lián)的美好愿景背后,安全問題日益凸顯

據(jù)Gartner和麥肯錫的預測數(shù)據(jù)顯示,2015年全球連接到互聯(lián)網(wǎng)上的設(shè)備將達49億臺,2020年或?qū)⒊^260億臺,智能汽車、手機、手環(huán)、醫(yī)療設(shè)備、家電等智能設(shè)備逐漸普及到人類生產(chǎn)生活中,他們在為人類帶來便利生活的同時,也存在巨大的安全隱患,設(shè)備廠商不夠重視安全、智能設(shè)備系統(tǒng)多樣化等都讓安全問題日益凸顯,這種案例已經(jīng)屢見不鮮。如2015年7月,菲亞特克萊斯勒美國公司宣布召回140萬輛配有Uconnect車載系統(tǒng)的汽車,黑客可通過遠程軟件向該車載系統(tǒng)發(fā)送指令,進行各種操作如減速、關(guān)閉引擎、讓剎車失靈等,嚴重危害人身安全。2015年8月的黑帽大會和世界黑客大會上,包括汽車在內(nèi)的各種智能設(shè)備都被爆出安全漏洞,黑客利用安全漏洞可以控制智能手機、汽車、交通紅綠燈,甚至搭載有智能狙擊鏡的高級狙擊步槍,讓人驚嘆不已。

2) 互聯(lián)網(wǎng)安全邊界日益模糊,挑戰(zhàn)越來越大

IOT的發(fā)展給個人生活和企業(yè)帶來巨大便利,萬物互聯(lián)及相關(guān)產(chǎn)業(yè)已成為全球科技界最具發(fā)展?jié)摿Φ念I(lǐng)域??焖侔l(fā)展的互聯(lián)網(wǎng)、多樣化的智能設(shè)備和系統(tǒng)、不夠重視安全設(shè)計的設(shè)備生產(chǎn)等問題逐漸導致風險擴大,主要表現(xiàn)在:

? 安全的復雜性:物理實體和信息數(shù)據(jù)之間的壁壘正在被打破,安全不再局限于網(wǎng)絡(luò)中虛擬信息本身,財產(chǎn)、隱私、甚至生命都已經(jīng)成為安全的一部分,互聯(lián)網(wǎng)安全已經(jīng)不僅僅存在于互聯(lián)網(wǎng)上,而在于所聯(lián)的萬物。

? 安全防護的挑戰(zhàn):對企業(yè)來說哪些位置需要安全控制、哪些邊界需要劃清、如何部署有效的控制,都需要專業(yè)的風險發(fā)現(xiàn)和控制方案。

? 硬件問題的修復不像在服務(wù)器或桌面系統(tǒng)中升級安裝補丁那么方便,大多數(shù)智能設(shè)備的修復和緩解將變得更為復雜,弄清楚如何快速修復多樣性設(shè)備的系統(tǒng)安全將成為挑戰(zhàn)。

未來,互聯(lián)網(wǎng)的發(fā)展使安全風險無處不在,如何發(fā)現(xiàn)并解決好這些安全問題,保護廣大用戶的權(quán)益是阿里巴巴移動安全團隊一直努力的方向,面對龐大復雜的萬物互聯(lián)世界,我們會與智能硬件、互聯(lián)網(wǎng)服務(wù)平臺等產(chǎn)業(yè)鏈相關(guān)廠商緊密配合,提供有針對性的安全方案,推動行業(yè)平穩(wěn)健康發(fā)展。

7. 版權(quán)聲明

本季度報告由阿里移動安全團隊撰寫,數(shù)據(jù)來源于阿里聚安全的監(jiān)測數(shù)據(jù)。報告中所有的文字、圖片、表格所有權(quán)歸阿里移動安全所有,任何組織或個人,不得使用本報告中的信息用于任何商業(yè)目的、復制、改編或發(fā)布。若需引用,請注明出處,且不得對本季報進行有悖原意的引用或改版。

*作者:阿里移動安全(企業(yè)賬號),轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

 
 

上一篇:超級隱形木馬抗多種殺毒軟件 專門攻擊支付寶

下一篇:CNCERT互聯(lián)網(wǎng)安全威脅報告-2015年10月(點擊下載)