【編者按】本文來自阿里移動安全的分享，微信公號：阿里聚安全。文章基于2015年第三季度阿里聚安全的監測數據，對移動應用的病毒、漏洞、仿冒三大類安全問題進行了分析。從數據來看，安全問題依舊堪憂：廣東依然是受病毒感染用戶量最多的省份，惡意扣費類病毒樣本量占比最高，XcodeGhost為代表的病毒感染打破蘋果安全神話。

隨著互聯網的發展和智能設備的普及，未來以個人或家庭為中心的小生態將出現，它承載著人類生產生活的所有信息，未來的安全問題將面臨更大的挑戰。

1. 移動安全總體情況

病毒

第三季度，總中毒設備量高達4121萬，比第二季度增長16% 。阿里聚安全病毒庫新增樣本275.2萬，比第二季度增長40%。

第三季度，惡意扣費類病毒樣本量占比64%，比第二季度增長25%，主要是色情類病毒持續增長，其惡意扣費行為需引起重視。

漏洞

安卓16個行業的top10應用中，平均每個應用含73個漏洞，比第二季度增長38%，漏洞問題應引起重視。

安卓16個行業top10應用89%都有高風險漏洞，且高風險漏洞量占比約24%，比第二季度略有下降。

運營商、電商、社交等行業的top10應用漏洞數量最多，漏洞量均超過700個。

仿冒

安卓16個行業top10應用94%存在病毒仿冒，每個應用平均含55個仿冒，比第二季度增長12%。

社交、游戲兩個行業的仿冒量最高，兩者top10應用總仿冒量4477個，占16個行業總仿冒量的51%。

2. 病毒情況

2.1 病毒規模

2015年第三季度，安卓平臺平均7臺設備有1臺設備染毒，總中毒設備量高達4121萬，比第二季度增長16%。

2015年第三季度，阿里聚安全病毒掃描引擎共查殺病毒6293萬次，比第二季度增長40%，幫助用戶抵御了大量的病毒風險。

阿里聚安全病毒樣本庫持續增長，2015年第三季度病毒樣本量新增275.2萬，比第二季度增長40%。

第三季度內，病毒樣本月均增長率為12%，平穩增長，但增長速度相比第二季度有所放緩。

2.2 病毒類型

惡意扣費類病毒樣本量占比最高，達64%，比第二季度上漲25%。第三季度，阿里移動安全團隊發現大量色情類病毒重新開始在某些論壇或應用市場上泛濫，這類病毒具有惡意扣費行為，通過誘惑性的應用圖標或應用名稱來刺激用戶下載，進而實施惡意行為，由于此類病毒能夠直接獲益，備受不法分子青睞，用戶需提高警惕。

流氓行為類病毒以20%的樣本占比，感染了55%的用戶群體，這類病毒匿名彈窗、惡意推送廣告、私自下載軟件等，對用戶體驗和手機安全造成危害。

2.3 感染用戶分布

廣東依然是受病毒感染用戶量最多的省份，其第三季度的設備感染量占全國總感染量的14%。由于廣東省經濟發達，華為中興等本土手機品牌的發展，帶動本地市場的強勁消費，一人持有多部手機的現象逐漸普遍起來，這些因素都導致廣東手機用戶的高染毒量。病毒感染的區域總體呈現出以中東部發達省份為主，西部為輔的格局，病毒制造者重點依然瞄準東部沿海手機用戶來掘金。

全國手機設備的平均中毒比例高達13.8%，即每7臺設備就有1臺染毒。設備中毒比例最高的省份集中在中西部，貴州、云南、新疆是中毒比例最高的三個省份。

貴州是最易被病毒感染的省份，中毒比例15%，每6臺手機就有1臺染毒，比全國平均值高8%。

2.4 典型病毒案例

XcodeGhost是一個感染蘋果開發工具的病毒，該工具生成的惡意App成功繞過AppStore的檢測，可收集敏感信息及下發控制命令，從而執行大量惡意行為，如打開網頁、發送短信等。

XcodeGhost打破了蘋果的安全神話，其下架并公示了被污染的25大應用，逾1億用戶受影響。事件發生后，阿里移動安全發布首篇分析報告，將此病毒命名為XcodeGhost，并持續關注和分析。

阿里巴巴所有核心應用不受此病毒感染，原因是阿里聚安全App風險掃描和漏洞檢測響應機制，加上嚴謹的安全流程服務和統一集成打包上線平臺“摩天輪”，保障了阿里巴巴龐大業務的無線安全能力。

3. 漏洞情況

報告中漏洞分析數據依托于阿里聚安全漏洞掃描引擎，具有多樣化檢測技術，百萬級別漏洞庫，100%覆蓋已知漏洞，為開發者發現應用的真正威脅。

漏洞分析選取的安卓16個行業包括：金融、電商、游戲、運營商、政務、社交、安全、辦公、工具、教育、旅游、攝影、生活、新聞、影音、閱讀。

3.1 應用漏洞

安卓16個行業的top10應用共有11630個漏洞，平均每個應用有73個漏洞，比第二季度增長37%。

16個行業的top10應用100%都有漏洞，且以Webview遠程代碼執行漏洞，比第二季度增長238%。Webview遠程代碼執行漏洞引起的主要原因是調用了Webview的addJavaScriptInterface方法，該方法的安全風險只在安卓sdk版本17及更高版本中才被google修復。 由于sdk 17以下的機型在市場上仍占20%，故很多開發者為了兼容性還將APP支持的最小版本設置在17以下，導致該漏洞量一直不降反升。

11630個風險漏洞中，24%屬于高危漏洞、63%屬于中危漏洞，低危漏洞僅占24%。如高危的Webview遠程代碼執行漏洞，攻擊者利用該漏洞可以根據客戶端能力為所欲為，如遠程控制用戶手機、盜取用戶隱私信息等。

3.2 Android系統漏洞

2015年Android系統漏洞呈爆發式增長，截至目前總漏洞量97個，同比上漲781%。2015年Android的系統漏洞量漲幅迅速，主要原因是關注移動安全的研究人員越來越多，很多以前被忽略的系統攻擊被發現并從中找到了漏洞提交給google修復，相信未來Android系統會變得越來越安全。

2015年Android系統漏洞中，代碼執行漏洞占比最高，達26%，且多數系統漏洞具有組合型，單一漏洞可能存在多種風險。

3.3 iOS系統漏洞

2015年iOS系統漏洞持續爆發，截至目前總漏洞量579個，同比上漲101%。2015年開始，蘋果更加重視安全方面的投入，發現和修復了大量漏洞，同時業界越來越多的白帽子加入到蘋果的安全研究中，發現漏洞并提交給蘋果修復，蘋果系統正在變得越來越安全。

iOS漏洞中代碼執行、拒絕服務攻擊占比最高，分別為26%、25%。

3.4 重點行業漏洞分析

以下7個重點行業的top10應用共有4695個漏洞，其中25%屬于高危漏洞如Webview遠程代碼執行、密鑰硬編碼等，可導致用戶隱私信息泄露、加密信息被破解。

運營商類top10應用漏洞量最高，達988個，且高危漏洞占比近30%。由于運營商類應用與用戶話費、流量、積分等息息相關，漏洞若被黑客利用，容易造成用戶資金受損，對用戶的潛在影響大。

金融類top10應用共704個漏洞，但其高危漏洞占比最高，約34%，在7個重點行業中排名第一。由于金融類應用直接與用戶財產相關，開發和需引起重視。

3.5 電商行業漏洞分析

電商類top10應用共有802個漏洞，平均每個應用含64個漏洞，其中約27%是Webview遠程代碼執行高危漏洞，可導致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴重后果。

電商類top10應用的802個漏洞中，約29%是高危漏洞，比16個行業的高危漏洞均值高21%，且電商類應用與用戶資金密切相關，開發者應保持密切關注，采取安全方案盡快修復危險漏洞，確保用戶利益和企業信譽不受影響。

3.6 金融行業漏洞分析

金融類top10應用有704個漏洞，平均每個含70個漏洞，其中22%是Webview遠程代碼執行高危漏洞，可導致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴重后果。

金融類top10應用的704個漏洞中，約34%是高危漏洞，比16個行業的高危漏洞均值高42%，在7個重點行業中高危漏洞最多。由于金融類應用與用戶財產息息相關，存在的漏洞隱患給用戶財產帶來巨大潛在風險。

3.7 游戲行業漏洞分析

游戲類top10應用有549個漏洞，平均每個應用含55個漏洞。其中29%是Webview遠程代碼執行高危漏洞，可導致用戶手機被安裝惡意扣費軟件、通訊錄和短信被竊取、手機被遠程控制等嚴重后果。

游戲類top10應用的549個漏洞中，約17%是高危漏洞，比16個行業的高危漏洞均值低29%，在7個重點行業中高危漏洞最少。游戲類應用開發周期短，資金變現快，用戶下載量大，存在的漏洞風險亦不容忽視。

3.8 典型漏洞案例

9月發布的iOS 9升級中，Apple修復了阿里移動安全發現的三處漏洞：CVE-2015-5838,CVE-2015-5834, CVE-2015-5868。

其中CVE-2015-5838漏洞可讓黑客在非越獄的iPhone 6上進行釣魚攻擊，并盜取Apple ID的密碼。由于仿冒的App Store登錄框與原版一模一樣，用戶很難察覺，輸入Apple ID的密碼后，導致賬號被盜。

CVE-2015-5834和CVE-2015-5868是kernel層的信息泄露和代碼執行漏洞，黑客組合兩者可以獲取內核信息，執行任意代碼。

4. 仿冒情況

報告中仿冒分析數據依托于阿里聚安全仿冒檢測引擎，可對全網應用渠道進行持續監測，收集仿冒應用、二次打包等各種威脅。

仿冒分析選取的安卓16個行業包括：金融、電商、游戲、運營商、政務、社交、安全、辦公、工具、教育、旅游、攝影、生活、新聞、影音、閱讀。

4.1 仿冒規模

安卓16個行業top10應用96%存在病毒仿冒，總病毒仿冒量高達8796個，平均每個應用的仿冒量達57個，比第二季度增長12%。

仿冒應用使用的手段中，單純仿冒正版軟件應用名稱的仿冒量占64%（5653個），單純仿冒正版軟件包名的仿冒量占19%（1672個），兩者結合的仿冒量占17%（1471個），可見不良開發者最喜歡使用正版應用的名稱來開發仿冒應用。

病毒仿冒應用利用與正版相似的特征，誘導用戶下載安裝，之后實施相應的病毒行為，對用戶的危害極大，用戶需謹慎。

4.2 仿冒風險

16個行業top10應用的8796個病毒仿冒中，惡意扣費類病毒軟件占比高達43%，比第二季度增長18%。該類病毒應用未經用戶允許私自發送短信和扣費指令，對用戶的手機，資費造成一定風險，需謹慎使用。

流氓行為類病毒仿冒占比32%，比第二季度下降19%。該類病毒會匿名彈窗、惡意推送廣告，誘導用戶下載廣告應用，嚴重影響用戶操作體驗。

4.3 重點行業仿冒分析

以下7個行業top10應用共有5234個病毒仿冒，約占16個行業總仿冒量的60%，其中社交、游戲類應用是病毒仿冒的重災區。

社交、金融、運營商行業的高危病毒仿冒占比超90%，對正版應用開發者和用戶都會造成巨大危害，建議正版開發商使用相關安全方案如阿里聚安全來自測應用的仿冒情況，并及早聯系各渠道下架。

4.4 游戲行業仿冒分析

100%的top10游戲類應用含病毒仿冒軟件，總仿冒量1604個，與第二季度持平，其中38%是高風險的仿冒病毒應用。

1604個病毒仿冒應用中，53%的仿冒應用具有流氓行為，在游戲中彈出騷擾廣告、匿名彈窗等，嚴重影響用戶體驗。此外35%的仿冒應用具有惡意扣費行為，容易導致用戶手機流量消耗，或游戲賬戶中的資金受損。

游戲應用以數量多、變現快，收益高的特性，易受不良開發者仿冒，影響正版開發者和用戶的利益，其仿冒問題應引起重視。

4.5 金融行業仿冒分析

100%的top10金融類應用含病毒仿冒軟件，總仿冒量394個，比第二季度增長166%。

394個病毒仿冒應用中，94%是高風險病毒應用，具有隱私竊取、短信劫持、惡意扣費等行為。由于金融類應用涉及用戶資產信息，這些高風險仿冒應用對用戶的危害極大，需提高警惕。

394個病毒仿冒應用中，48%的仿冒應用有隱私竊取行為，容易造成用戶隱私信息泄露，進而影響金融賬戶資金等。

4.6 電商行業仿冒分析

90%的top10電商類應用含病毒仿冒軟件，總仿冒量123個，且69%是高風險病毒應用，具有遠程控制、惡意扣費等行為。由于電商類應用涉及用戶網購行為、賬戶資產等敏感信息，這些高風險仿冒應用對用戶的危害極大，需提高警惕。

123個病毒仿冒應用中，43%的仿冒應用有遠程控制行為，容易導致用戶手機被黑客控制，導致隱私信息泄露、賬號被盜等風險。

4.7 典型仿冒案例

“人人紅包”應用在9月份開始爆發，兩個月時間已感染用戶量1.6萬，且10月份感染量上漲趨勢迅猛。不法分子通過推送節日祝福短信如“xxx，我給你發了一份中秋紅包，點擊鏈接下載安裝就可領取了。”到用戶手機上，誘導用戶點擊下載安裝。

一方面，該病毒安裝后會隱藏圖標不讓用戶察覺，并私自將用戶的收發短信、通訊錄等信息發送到遠程服務器，還會私自下載推廣軟件，惡意消耗手機流量，甚至對用戶的資產帶來風險。

另一方面，該病毒會向通訊錄聯系人群發短信進行傳播，好友收到后看到是認識的人發來的短信，誤以為真，打開短信中的鏈接下載安裝后被感染，形成放射性傳播，導致感染量迅速上升，建議用戶提高警惕。

5. 阿里聚安全解決方案

針對移動應用存在的安全問題，阿里聚安全提供完整的應用安全解決方案，包括發現風險（惡意代碼檢測、漏洞檢測、仿冒檢測）、安全增強（應用加固、安全組件）、風險持續監控等功能，保護移動應用全生命周期的安全風險可控。

6. 移動安全的發展趨勢

移動互聯網的病毒、漏洞、仿冒等安全問題由來已久，且業界已經有較多成熟的獨立解決方案，但隨著互聯網的發展、智能設備的普及，未來以個人或家庭為中心的小生態將出現，它承載著人類生產生活的所有信息，而安全將面臨更大的挑戰。

智能設備蓬勃發展，萬物互聯的美好愿景背后，安全問題日益凸顯

據Gartner和麥肯錫的預測數據顯示，2015年全球連接到互聯網上的設備將達49億臺，2020年或將超過260億臺，智能汽車、手機、手環、醫療設備、家電等智能設備逐漸普及到人類生產生活中，他們在為人類帶來便利生活的同時，也存在巨大的安全隱患。

設備廠商不夠重視安全、智能設備系統多樣化等都讓安全問題日益凸顯，這種案例已經屢見不鮮。

如2015年7月，菲亞特克萊斯勒美國公司宣布召回140萬輛配有Uconnect車載系統的汽車，黑客可通過遠程軟件向該車載系統發送指令，進行各種操作如減速、關閉引擎、讓剎車失靈等，嚴重危害人身安全。2015年8月的黑帽大會和世界黑客大會上，包括汽車在內的各種智能設備都被爆出安全漏洞，黑客利用安全漏洞可以控制智能手機、汽車、交通紅綠燈，甚至搭載有智能狙擊鏡的高級狙擊步槍，讓人驚嘆不已。

（編者注：黑客控制汽車可看烏云聯合創始人文章——《把你家汽車開到溝里，黑客是如何辦到的？》）

互聯網安全邊界日益模糊，挑戰越來越大

IOT的發展給個人生活和企業帶來巨大便利，萬物互聯及相關產業已成為全球科技界最具發展潛力的領域。快速發展的互聯網、多樣化的智能設備和系統、不夠重視安全設計的設備生產等問題逐漸導致風險擴大，主要表現在：

安全的復雜性：物理實體和信息數據之間的壁壘正在被打破，安全不再局限于網絡中虛擬信息本身，財產、隱私、甚至生命都已經成為安全的一部分，互聯網安全已經不僅僅存在于互聯網上，而在于所聯的萬物。

安全防護的挑戰：對企業來說哪些位置需要安全控制、哪些邊界需要劃清、如何部署有效的控制，都需要專業的風險發現和控制方案。

硬件問題的修復不像在服務器或桌面系統中升級安裝補丁那么方便，大多數智能設備的修復和緩解將變得更為復雜，弄清楚如何快速修復多樣性設備的系統安全將成為挑戰。

未來，互聯網的發展使安全風險無處不在，如何發現并解決好這些安全問題，面對龐大復雜的萬物互聯世界，我們會與智能硬件、互聯網服務平臺等產業鏈相關廠商緊密配合，提供有針對性的安全方案，推動行業平穩健康發展。