通付盾发布2017年度移动安全报告:金融行业仿冒威胁严重
2017年,移动APP开启知识内容付费“元年”,移动应用市场正在形成以微信、淘宝、支付宝等为代表的超级应用形态。截至2017年12月,我国移动应用数量规模超过570万,较2016年增长14.14%,新生应用增长放缓。
形成对比的是,恶意、仿冒等危险应用增长明显:2017年恶意应用数量总计29,701个,同比增长28.66%;高危应用总计858,406个,同比增长5.58%;仿冒应用数量总计28,154个,同比增长21.94%。恶意、仿冒应用增长趋势远超移动应用总体增长速度。部分移动应用被不法分子利用,传播暴力恐怖、淫秽色情等违法违规信息,安全问题突出的移动应用窃取用户信息、擅自使用付费业务、恶意推送广告等,直接损害用户的切身利益,威胁用户隐私信息安全。
图 2016-2017年Android恶意应用增长显著
一、移动应用安全
(一)恶意应用不断进化
2017年,Android恶意应用从23,000余款增长到29,701款,一年之内规模增长了28.66%。其中,流氓行为(占比30.46%)、资费消耗(占比28.84%)及信息窃取(占比22.65%)三类占比最高,是移动应用中的“顽疾”。对恶意应用所属地域监控数据显示,经济发达地区是恶意应用威胁主要区域。在传播方式上,恶意应用开始从移动应用分发平台向论坛、网盘扩散,出现了利用夹带恶意代码的SDK传播的新方式。
图 2017年Android恶意应用类型占比图
(二)漏洞数量增长明显
数据显示,2017年移动应用安全漏洞数量规模累计超过2.8亿,2017年由于高危漏洞导致经济损失达到数千亿美元,安全漏洞类型也在明显增多。2017年共监测到19种不同类型的移动高危漏洞,位列前三的漏洞种类包括:WebView系统隐藏接口漏洞、WebView远程代码执行安全和WebView组件忽略SSL证书验证错误漏洞。
图 2017年Android移动应用高危漏洞类型分布
此外,移动应用第三方SDK安全漏洞成为安全漏洞新趋势之一。SDK安全漏洞一旦被利用,攻击者就能利用SDK本身的功能发动恶意攻击,例如在用户毫无察觉的情况下打开相机拍照,通过发送短信盗取双因子认证令牌,或将设备变成僵尸网络一部分。
(三)仿冒威胁全面扩散
2017年,仿冒应用规模从2.3万+增长到2.8万+,增长21.74%,仿冒成风,不少仿冒软件内置恶意代码,并以隐私窃取、推送广告、恶意扣费等方式损害用户利益。仿冒应用制作成本低廉,并形成地下产业链,使得仿冒未得到有效遏制,不断向各行业扩散,其中游戏娱乐行业成为仿冒重灾区,该行业仿冒应用数量占到所有行业的52.27%。
图 Android仿冒应用行业分布
二、行业应用安全
(一)金融行业遭遇仿冒威胁严重
监测数据显示,2017年度,金融行业面临的应用仿冒问题严重。包括银行、现金贷、第三方支付、互金等行业均发现仿冒应用。仅互联网金融仿冒应用多达1300余个,仿冒APP累计下载量达3000万次,包括支付宝、京东金融等在内的主流支付应用皆被仿冒。直接威胁用户的银行卡、账号、密码等信息财产安全。
表 仿冒活跃平台下载量TOP5
(二)交通出行应用暴露安全隐患
2017年,包括“网约车”、共享单车等在内的交通出行移动应用总计达41,389款,在行业快速发展时期,应用安全问题给监管部门带来了新的挑战。
以“网约车”行业为例,各类网约车应用相继出现“整蛊漏洞”、恶意扣费、司机恶意刷单、植入恶意代码等现象。
同时,蓬勃发展的共享单车行业移动应用更频繁暴露出业务逻辑、二维码、产业链等各层面安全问题,导致安全事件频频发生。以某知名单车客户端业务逻辑漏洞为例,导致该企业在共享单车“红包大战”中日亏损千万的严重后果。
(三)移动政务安全成热点话题
数据显示,2017年政府服务类移动应用中,高危应用数占比高达4.53%,安全漏洞问题突出。以某市交通管理类移动应用为例,安全专家对该应用代码进行分析,很容易就找到该应用的多个代码安全漏洞,这些漏洞极易导致设备被安装远程控制木马、通讯录和短信被窃取等安全事件发生。
图 某市交通管理APP运行界面及漏洞代码示意图
三、网络黑产威胁
个人信息泄露给社会带来了巨大的危害,而且在不断深化。数据显示:网民平均每周收到垃圾邮件18.9封,垃圾短信20.6条,骚扰电话21.3个。2017年,因个人信息泄露、垃圾信息、诈骗信息等现象导致的损失高达915亿元,黑灰行业已经形成巨大的产业链。
2017年11月,诺基亚发布了《2017年度威胁情报报告》。报告中显示,智能手机占掉了所有移动网络病毒感染的72%,而其中Android设备的感染率达到了69%,远远过半。国家互联网应急响应中心从4月份起发布的一系列勒索病毒通报也显示,勒索病毒总体仍然处于上升趋势。攻击者利用红包的诱惑伪装成红包助手类应用诱导下载,使受害人的手机感染。
2017年是数据泄露史上最糟糕的一年,2017年仅上半年被盗的数据,就已经超过了2016年全年被盗数据总量。数据泄露已成为全球最普遍存在的网络安全事件之一。数据窃取的目标从政府机构扩大到第三方承包商和数据集成商,以及安全厂商和解决方案提供商自身。
在国内,平均每一个移动应用含有不同等级约40个漏洞,多达80%的移动应用都存在内存敏感数据泄露问题。用户的个人通讯录、电话、短信、录音等数据都在偷偷流向“远方”。2017数据泄露之外数据之争也成为焦点,继顺丰菜鸟的数据之争后,腾讯、华为的互怼消息再次引爆全行业及社会对用户数据的关注。在大数据时代,用户数据背后所蕴藏的利益交织与地盘争夺,让不少巨头纷纷为此大打出手,似乎“谁掌握了数据,谁就能成功”。用户数据俨然已经成为各大互联网企业竞争的一座“金矿”。而对于使用者来说,我们暴露在一个透明的时代。
四、网络安全政策篇
2017年,我国网络安全法律政策围绕关键基础设施、个人数据安全、网络应急响应等核心制度展开,以“网络安全法”为根本性法律框架,密集发布多项要求性细则规定。包括《国家网络空间安全战略》、《网络空间国际合作战略》、《互联网域名管理办法》等。
图 网络安全法规建设进程
8月18日,杭州互联网法院挂牌成立,是全国第一家集中审理涉网案件的试点法院。10月15日,全国信息安全标准化技术委员会2017年第二次会议周在厦门召开,网络安全等级保护制度(等保2.0)正在积极推动过程中,将会影响到云计算安全、移动互联安全、物联网安全、工业控制系统安全等领域的产品、服务合规要求。
网络安全领域的建设离不开合理的立法和标准的指导,国家《网络安全法》作为建设网络强国的法制保障,为网络安全带来了机遇,网络安全行业将更加有序、更加有章可循,相关工作也会更加规范地开展和实施。所涉及的相关组织机构、人员等重视程序、意识形态也将得到明显的改善和提升。
五、移动应用趋势篇
(一)移动安全边界不断扩大
移动安全的边界在逐步扩大,除了传统的Android、iOS生态的安全漏洞外,数量迅速上升的物联网设备、智能汽车、无人机等设备,其安全问题也纳入了移动安全范围。这将使得移动安全漏洞数量成倍增长,且漏洞的复杂程度、种类、修复难度等都有了质的变化,其造成影响也愈发深远。
苹果的FaceID技术可被基于图片制作的3D假脸骗过,从而解锁手机,造成重大安全隐患。2017年12月,研究机构指出,Tensorflow、Caffe、Torch三个AI框架存在15个安全漏洞,可以被黑客用于攻击,可篡改数据流,欺骗人工智能应用。浙江大学通过将人声信息转化为超声波,可在用户没有感知的情况下,远距离操作如Siri、Alexa等智能语音助手,进行拨打电话等操作。
2017年,物联网设备数量已经超过人类数量总和,达到84亿,物联网已从如何低成本大规模部署,演进为怎样高效率利用物联网大数据,落地到解决生产生活的效率、安全、管理问题。小米在2017MIDC大会上宣布,其物联网开放平台连接的设备超过8500万台。而其中的大部分设备,都可以通过小米推出的米家App进行管理,可以读取设备数据、设置设备参数、升级设备固件。移动应用已经与物联网深度融合,成为物联网产业链的重要一环。物联网产业上下游供应链极长,复杂度高。而移动安全是物联网安全体系的重头戏之一,应当引起足够的重视。
(二)企业安全防护策略更加主动
近年来,由于数据价值的日益凸显,企业对于网络安全保障的投入也逐年上升,据调查显示,中国内地与香港企业在网络安全方面的平均投入比全球数值高出23.5%,受访企业的平均预算达630万美元。
相对于风险保护这种被动挨打的方式,企业保障网络安全的方式开始倾向于主动出击的预防模式。人工智能的应用,将积极推动企业采用主动防御策略。人工智能将辅助安全专家,抹平从“检测到安全威胁”到“进行补救”的时间差。思科在应用机器学习后,结合共享共通的威胁情报,将发现威胁的时间由原来的十数天降低到3.5小时。在移动安全领域,人工智能应用突飞猛进,活跃于恶意软件识别、隐藏活动监控、移动威胁探测等多个方面。
由于网络安全问题的牛尾效应,问题越早发现,造成的损失越小。结合现有的被动防御体系,增加提前预警、自发修复的主动预防比重,是企业网络安全防护的应用趋势。