通付盾发布2017年度移动安全报告：金融行业仿冒威胁严重

本篇文章3707字，读完约9分钟

2017年，移动应用开始了为知识内容付费的“第一年”，移动应用市场正在形成以微信、淘宝和支付宝为代表的超级应用形式。截至2017年12月，中国移动应用数量超过570万，同比增长14.14%，新应用增长放缓。

相比之下，恶意和假冒等危险应用大幅增长:2017年，恶意应用总数达到29，701个，同比增长28.66%；高风险申请总数为858，406件，同比增长5.58%；伪造申请数量总计28154份，同比增长21.94%。恶意和假冒应用程序的增长趋势远远超过移动应用程序的总体增长率。一些移动应用被犯罪分子使用，传播暴力、恐怖、淫秽和色情等非法信息。存在突出安全问题的移动应用窃取用户信息、未经授权使用付费服务、恶意推送广告等。，直接损害用户的切身利益，威胁用户的隐私。

图2016-2017安卓恶意应用大幅增长

首先，移动应用安全

(a)恶意应用程序继续发展

2017年，恶意安卓应用的数量从23，000个增加到29，701个，一年内增长了28.66%。其中，流氓行为(占30.46%)、资费消耗(占28.84%)和信息窃取(占22.65%)所占比例最高，是移动应用中的“顽疾”。根据恶意应用所在地区的监测数据，经济发达地区是恶意应用威胁的主要地区。在传播方式上，恶意应用开始从移动应用分发平台传播到论坛和网络磁盘，出现了一种通过sdk传播恶意代码的新方式。

图2017安卓恶意应用类型比率图

(2)漏洞数量大幅增加

数据显示，2017年，移动应用的安全漏洞总数超过2.8亿个。2017年，高风险漏洞造成的经济损失高达数千亿美元，安全漏洞的种类也大幅增加。2017年，检测到19种不同类型的移动高风险漏洞，前三个漏洞包括:webview系统隐藏接口漏洞、webview远程代码执行安全漏洞和webview组件忽略ssl证书验证错误漏洞。

图2017年安卓移动应用高风险漏洞类型分布

此外，移动应用的第三方sdk安全漏洞已经成为安全漏洞的新趋势之一。一旦利用了sdk的安全漏洞，攻击者就可以利用sdk自身的功能发起恶意攻击，例如在用户没有注意到的情况下打开摄像头拍照，通过发送短信窃取双因素身份验证令牌，或将设备变成僵尸网络的一部分。

(3)造假威胁全面扩散

2017年，假冒申请的规模从23，000多份增加到28，000多份，增幅为21.74%。假冒成为一种普遍趋势，许多假冒软件构建恶意代码，通过窃取隐私、推送广告和恶意扣款来损害用户利益。假冒应用的生产成本低，并且形成了地下产业链，这使得假冒没有得到有效遏制并扩散到各个行业。其中，游戏娱乐行业成为受假冒打击最严重的行业，该行业假冒应用数量占所有行业的52.27%。

图安卓仿冒应用行业分布

二、行业应用安全

(1)金融业受到假冒伪劣的严重威胁

监测数据显示，2017年，金融业面临着严重的应用伪造问题。在银行、现金贷款、第三方支付、共同基金和其他行业都发现了假冒应用。仅互联网金融领域就有1300多个假冒应用，累计下载量已达3000万次。支付宝和京东金融等主流支付应用都被假冒。它直接威胁到用户银行卡、账号、密码等信息和财产的安全。

表伪造活动平台下载前5名

(2)交通旅行应用暴露出潜在的安全隐患

2017年，共有41，389个移动交通应用，包括“网络汽车”和共享自行车。在行业快速发展时期，应用安全问题给监管机构带来了新的挑战。

以“互联网汽车”行业为例，各种互联网汽车应用出现了“狡猾的漏洞”、恶意扣款、司机恶意计费、恶意植入代码等。

与此同时，蓬勃发展的共享自行车行业中的移动应用频繁暴露出业务逻辑、二维码和产业链等各个层面的安全问题，导致安全事件频发。以一个知名自行车客户的商业逻辑漏洞为例，它导致公司在共享自行车的“红包大战”中损失了数千万美元。

图分享自行车混乱

(3)移动政务安全成为热门话题

数据显示，2017年，高风险应用占政府服务移动应用的4.53%，安全漏洞突出。以一个城市中的交通管理移动应用为例，安全专家通过分析应用代码可以很容易地发现应用的多个代码安全漏洞，这些漏洞很容易导致安装远程控制木马、窃取通讯录和短信等安全事件。

图城市交通管理应用运行界面及漏洞代码示意图

第三，网络黑生产的威胁

个人信息的披露给社会带来了巨大的危害，并且还在不断加深。数据显示，网民每周平均收到18.9条垃圾短信、20.6条垃圾短信和21.3个骚扰电话。2017年，个人信息泄露、垃圾邮件和欺诈信息造成的损失达到915亿元，黑灰色产业形成了巨大的产业链。

2017年11月，诺基亚发布了2017年威胁情报报告。报告显示，智能手机占所有移动网络病毒感染的72%，安卓设备的感染率达到69%，远远超过一半。自4月份以来，国家互联网应急中心发布的一系列软件通知也显示，软件仍在增长。攻击者利用红包的诱惑冒充红包助理应用程序来诱使下载，从而感染受害者的手机。

2017年是数据泄露史上最糟糕的一年。仅2017年上半年被盗数据就超过了2016年被盗数据总数。数据泄露已经成为世界上最常见的网络安全事件之一。数据盗窃的目标已经从政府机构扩展到第三方承包商和数据集成商，以及安全供应商和解决方案提供商本身。

在中国，平均每个移动应用包含大约40个不同级别的漏洞，多达80%的移动应用存在内存敏感数据泄漏问题。用户的个人通讯录、电话、短信、录音等数据都在秘密地流向“遥远的地方”。除了2017年的数据泄露，数据纠纷也成为焦点。在SF新秀之间的数据纠纷之后，腾讯和华为相互干扰的消息再次点燃了整个行业和社会对用户数据的关注。在大数据时代，用户数据背后的利益交织在一起，争夺地盘的斗争也在进行，这使得许多巨头都在为此而战。似乎“谁拥有数据，谁就能成功。”用户数据已经成为主要互联网公司竞争的“金矿”。对于用户来说，我们面临的是一个透明的时代。

第四，网络安全策略

2017年，中国的网络安全法律和政策以《网络安全法》为基本法律框架，重点关注关键基础设施、个人数据安全、网络应急响应等核心系统，并出台了一系列必要的细则和条例。包括《国家网络空安全战略》、《网络空国际合作战略》、《互联网域名管理办法》等。

图网络安全法规建设流程

8月18日，杭州互联网法院成立，这是中国第一个试点法院审理涉及互联网的案件。10月15日，2017年国家信息安全标准化技术委员会第二次会议在厦门召开。网络安全等级保护系统(equal security 2.0)正在积极推广，这将影响云计算安全、移动互联网安全、物联网安全和工业控制系统安全领域产品和服务的合规性要求。

网络安全建设离不开合理的立法和标准的指导。《国家网络安全法》作为建设网络强国的法律保障，为网络安全带来了机遇。网络安全行业将更加有序和有章可循，相关工作将更加规范地开展和实施。有关组织和人员重视程序和意识形态，这也将得到明显改善和促进。

V.移动应用趋势

(1)移动安全边界继续扩大

移动安全的边界正在逐渐扩大。除了传统的安卓和ios生态安全漏洞外，数量迅速增加的物联网设备、智能汽车、无人机等设备的安全问题也被纳入移动安全范围。这将使移动安全漏洞的数量成倍增加，漏洞的复杂性、类型和修复难度都发生了质的变化，其影响也越来越深远。

苹果的faceid技术可以被基于图片制作的3d假面所欺骗，从而解锁手机，造成重大安全风险。2017年12月，该研究所指出，在tensorflow、caffe和torch ai框架中存在15个安全漏洞，黑客可以利用这些漏洞攻击、篡改数据流和欺骗人工智能应用。通过将声音信息转换成超声波，浙江大学可以远程操作智能语音助手，如siri和alexa，并在用户没有察觉的情况下打电话。

2017年，物联网设备的数量超过了人类总数，达到84亿台。物联网已经从如何低成本大规模部署发展到如何高效利用物联网大数据，解决生产生活中的效率、安全和管理问题。小米在2017年idc大会上宣布，其物联网开放平台连接了超过8500万台设备。这些设备中的大多数都可以通过小米推出的Mijia应用进行管理，该应用可以读取设备数据、设置设备参数和升级设备固件。移动应用已经与物联网深度融合，成为物联网产业链的重要组成部分。物联网产业的上下游供应链极其漫长和复杂。移动安全是物联网安全系统的亮点之一，应该引起足够的重视。

(二)企业安全保护策略更加积极

近年来，由于数据的价值日益凸显，企业在网络安全方面的投资也逐年增加。调查显示，mainland China和香港企业在网络安全方面的平均投资比全球高出23.5%，受访企业的平均预算为630万美元。

与被动的风险防护方式相比，企业保证网络安全的方式往往是主动攻击。人工智能的应用将积极推动企业采取主动防御策略。人工智能将帮助安全专家消除从“检测安全威胁”到“补救安全威胁”的时间差。在应用机器学习和共享常见威胁情报后，思科将发现威胁的时间从十天缩短到了3.5小时。在移动安全领域，人工智能的应用正在突飞猛进，它活跃在恶意软件识别、隐藏活动监控、移动威胁检测等诸多方面。