海云安：利益博弈，APP安全漏洞背后的攻防交锋

全球范围内移动设备的数量早就在多年前超越了世界人口总和。Statista的数据显示，2016年全球范围内智能手机的出货量约在15亿台左右，预计到2020年这个数字会增长到17.1亿；到2018年，全球手机用户总数将达到25.3亿人次——这其中1/4都来自中国。

而在国内，随着近年来移动互联网技术在各个领域应用的不断延伸，APP应用的开发数量开始呈现井喷发展趋势，随之而来的一系列安全漏洞问题也开始逐步浮现。

APP应用所带来的安全隐患

APP应用市场很是庞大，单是对于IOS 和android 这两大操做系统APP市场来讲，用户涉及的面就很难估量，而目前这两大移动系统平台却面临着类似的安全风险情况：

安卓APP安全现状紧迫

安卓APP因为其开源性，在国内紧紧占据移动系统第一的地位，因为用户做为最终的使用方，每每更为关心的是应用的功能性与可用性，安全性每每因为难以直观体验经历，外加缺少专业知识识别察觉，就成为了最不受重视的一项使用因素，可是对于开发者来讲广泛却对移动APP的安全现状缺少乐观的心态。

在近期的一次安全测评行动中，某机构选取了金融、购物、医疗、社交、游戏、娱乐、交通与出行、生活等8个分类的892款Android平台的流行App做为样本，针对移动APP存在的安全风险与漏洞进行评估发现：65%接受测试的移动App至少存在1个高危漏洞，平均每一个App就有7.32个漏洞；娱乐类移动App成安全漏洞重灾区，每10个娱乐类移动App就有9个至少包含一个高危漏洞；而多达88%的金融类App都存在内存敏感数据泄露问题。

而从用户角度来看，经过调查发现，高达70%左右的用户并不清楚本身是否由于移动APP安全漏洞而遭遇了我的信息泄漏。可是安卓APP漏洞的存在将会对众多用户带来切实的风险损失，如以前曾曝光过的一个安卓APP新型安全漏洞：“寄生兽”- 利用该漏洞，攻击者能够直接在用户手机中植入木马，盗取用户的短信照片等我的隐私，甚至盗取银行、支付宝等帐号密码等。

IOS系统是否真的安全？

虽然苹果声称一直拥有本身的操做系统，而且因为系统的封闭性，安全性较强，可是在APP安全漏洞方面也未能幸免。早在2014年，国外研究机构IOActive Labs的研究人员阿里尔·桑切斯就曾测试过苹果iOS平台上的40款移动银行App。结果显示这些APP几乎都未实施基本的安全保护措施，安全漏洞随时可能出现。

在iOS系统为用户提供更多的安全防御与隐私保护策略的同时，针对iOS系统的漏洞也呈现逐年上涨的趋势。在过去的一年里，苹果公司陆续发布12个iOS版本（目前版本号为10.3.3）更新，共计修复338个安全漏洞，包含30个内核漏洞，106个Webkit代码执行漏洞，其中多个高危漏洞完整利用代码已经公开，可直接获取系统最高权限，严重威胁用户安全。

苹果公司开发者网站显示，自2016年9月发布至今，全球范围内87%的iOS用户已经升级到iOS 10，但没有给出具体的版本分布状况。但如前文所述，小版本的更新不及时依然会形成严峻的安全威胁。

APP安全漏洞的背后受益者

在这些层出不穷的APP风险漏洞事件背后，是否存在有受益产业链条群体呢？

咱们知道一个完整的APP生态生命产业链，涉及到开发商、手机厂商、应用推广运营商、移动广告及应用市场等环节及因素，这背后有着诸多依赖APP风险漏洞获利的黑色产业链，其源动力就是：利益驱动。

海云安分析认为，APP安全漏洞存在的背后，有三类群体存在利益链条上的博弈：

1、部分APP外包开发商

APP的快速兴起，促使市场出现了大量的APP开发需求，从成本考虑大部分企业每每选择之外包的形式来得到所需的APP应用程序，而因为甲方企业并不会特别注重安全问题，就致使开发企业不会在安全开发操做上投入过多的成本及精力，毕竟最终买单的是甲方企业，这就致使安全问题很容易出现。

另外，还有很多的外包开发商每每出于精简成本、快速开发交工的考虑，会直接利用APP漏洞，获取目标APP的一些核心开发代码及元素，进行快速仿照开发，以极低的成本及投入完成开发任务，这种功利性的思考因素也导致了开发商对APP漏洞安全问题的“若即若离”，个别开发商甚至会在APP中直接嵌入某些病毒和恶意程序，恶意传播后进行获利。

2、打包党

曾有人披露，在打包党的巅峰时期，一个10人的团队能够在一个月内靠病毒打包纯赚150万元，即月均每人净赚15万。

打包党通常是一些我的或小型的开发者团队，专门寻找一些热门应用，利用APP漏洞进行破解，拆包后插入一些本身想要分发的内容(好比加入病毒、广告链或吸费指令等恶意程序)，再从新拼装将这些“二次打包”的盗版软件从新发布到应用市场中去，随后就能够稳坐后台，开启数钱模式。

打包党是典型的利用APP漏洞获益者，是受APP破解门槛低、风险漏洞数量多的安全现状所催生的“黑色群体”。用户不当心中招后，损失的不只仅是流量、话费，还有没法估量的我的信息。

3、移动互联网信息黑产

随着信息互联的通道重心逐步朝向移动互联网转移，大量的信息黑产产业链也开始过渡转移到了移动互联网领域。

移动黑产大可能是利用移动APP系统中存在的大量风险漏洞，经过攻破劫持应用前端，配合通讯及后端的攻击等进行实施，相比于传统的脱库攻击，移动黑产更多的是围绕移动支付、我的财产等敏感信息进行实施，同时攻击很是隐蔽，不容易察觉，对企业移动业务的健康运营带来了极大威胁。

海云安的移动信息安全工程师认为，目前常见的移动黑产可能是利用APP漏洞，植入病毒木马绑架成为“肉鸡”，成为僵尸应用，进而开展流量+数据黑产行为，实施盗刷并产生了大量无效激活数据。同时“暗扣黄赌”、“木马病毒”等非法应用的流量分发行为及盗刷门、羊毛党等也可能是利用漏洞进行应用劫持或者二次封装从而实现的，因而可知移动APP的安全漏洞无疑是黑产从业者眼中的“香饽饽”。

这其中非法牟取到的大量用户我的敏感信息，则又经其余渠道转手倒卖到借贷、房产、教育等诸多中介市场以进行电话营销轰炸，或开展进一步的电信欺诈行为。

对于移动黑产从业者来讲，一根产业链条下来一举多得、稳赚不赔，又何乐而不为？

攻防安全，如何正确应对？

就像镜子的两面，每个新的行业的兴起就必然会出现对应的“黑灰产业链”。对于志在搭乘移动互联网东风谋求快速发展的企业来讲，如何应对层出不穷的移动安全风险漏洞及随之而来的业务攻击，只有提升防范重视，积极应对这一条途径了。

值得注意的是，目前随着攻击手段的不断丰富，APP的相关安全漏洞也再也不局限于以前的反编译之流了。海云安的移动信息安全工程师介绍说，“APP风险漏洞已经从当初的单一应用软件漏洞，逐步延伸至通信协议漏洞、网络交互协议攻击、网络代理、逆向欺诈等覆盖整个移动业务系统的系列安全漏洞。所以在采起积极的应对措施时，单一的安全防御手段可能就显得并不高明。”

而从整个移动业务安全的角度来看，企业采起覆盖整个移动业务系统的一体化安全防御才能称得上切实有效的安全策略。

海云安：以业内领先的众多安全技术产品和专家级的一体化安全技术方案，为微众银行、平安银行、恒大集团、天虹集团、顺丰速运等众多知名金融机构、政府、大中型企事业单位提供移动安全防御解决方案，同时为国家信息中心、公安部三所、国家安监总局等多家权威安全机构提供了专业的技术支撑支持。