• 四联公告
  • 更多内容行业动态

  • 2020大型家电包装全自动钉糊箱解决方案...
  • 全媒体触发
  • 2020江西同乡会
  • 一代鞋王百丽宣布退市
  • 中国制造业即将迎来黄金五年
  • 高速瓦线新标准问世
  • 其实,中国在机器人方面的技术实力相当...
  • 东洋推出可高速印刷、可蒸煮的水性油墨
  • 9类食品接触材料新国标今日正式实施
  • 巴菲特印在了可口可乐的包装上
  • 30家央企争做雄安建设排头兵
  • Landa宣布2017年测试客户名单
  • 快递物流已成为中国经济转型的新引擎
  • 没名没姓的快递单为何令人踏实?
  • 一文读懂两会后最权威的经济研判
  • 2017年全球最有影响力的机器人公司是这50家
  • 第24届华南国际印刷展2017中国国际标签...
  • 跨境电商盲点之下如何走出新路子?
  • 包装印刷业未来几年哪些岗位最有钱途
  • 《箱纸板》新标准已发布将于今年7月1日...
  • 达能雀巢联手了
  • 《阿里聚安全 2016 年报》正式发布
  • 零售商们谈未来五年的“新零售”
  • 可口可乐在全球推动130年来最显赫的包装...
  • 阿里“新零售”战略即将宣布 追寻马云“...
  • 未来30个商业发展趋势
  • 可口可乐新包装可以换脸玩嗨了
  • 2017中央一号文件:推进农村电商发展
  • 2017年电子商务必将“有法可依”
  • 2月1日起一批新规新政施行
  • 东莞成中国春节第一空城
  • 纸包装行业的黑科技,可制作任意尺寸纸箱!
  • 上海连和即将发布互联式地板车
  • 2017包装设计5个发展方向
  • 2016年中国物流业大事件
  • 《世界品牌500强》揭晓,中企36家入围
  • 三部门联合发布 《电子商务“十三五”发...
  • 十大新变化与新机遇-解读2017年中央经济...
  • 潘通发布2017年度色彩(附历年年度代表色)
  • “菜鸟”推出智能包装算法,纸箱厂一年...
  • 2016年度“中国最美的书”
  • 得废纸者将“得天下”,废纸逐渐成为企...
  • “双十一”是每个商家躲不过的“劫”
  • “2016中国物流十大年度人物”揭晓
  • 休闲农业7000亿大蛋糕
  • 2016双十一
  • 15省发布2016年企业工资指导线
  • 微信Webike要做共享单车
  • 中国物联网产业规模达到7500亿元
  • 工业机器人市场再创新高产业发展仍需保...
  • 《阿里聚安全 2016 年报》正式发布

    《阿里聚安全2016年报》发布,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全端安全方面应该注意的风险,之后会描述阿里聚安全在业务安全防控方面做的一些努力和观点,帮助企业在建设互联网业务安全时,考虑安全策略和防护应该往哪部分倾斜。

    Android平台约10台设备中就有1台染毒,

    设备感染率达10%

    2016年度,Android平台约10台设备中就有1台染毒,设备感染率达10%,阿里聚安全病毒扫描引擎共查杀病毒1.2亿,病毒木马的查杀帮助用户抵御了大量的潜在风险。

    1.jpeg

    每天新增近9000个新移动病毒样本,

    每10秒生成1个

    阿里聚安全移动病毒样本库2016年新增病毒样本达3284524个,平均每天新增9000个样本,这相当于每10秒生成一个病毒样本。我们也看到在9月份后病毒样本有比较明显的增加趋势。虽然原生Android系统的安全性越来越高,但移动病毒利用多种手法如重打包知名应用、伪装成生活类、色情类应用等传播,在每天新增如此多病毒的恶意环境下,Android用户必须时刻警惕在官方场合下载应用。

    2.png

    2016年,我们发现“恶意扣费”类在病毒样本量占比最高,达72%。该类病毒应用未经用户允许私自发送短信和扣费指令,对用户手机的资费造成一定风险,而在客户端检测到样本的“流氓行为”占比最高,“恶意扣费”其次。

    3.jpeg

    4.jpeg

    对比客户端病毒样本和样本库类型,虽然“恶意扣费”的样本数非常庞大,但在客户端感染的数量已经成反比,这是因为国家着重针对影响范围大、安全风险较高的移动互联网恶意程序进行专项治理,“恶意扣费”类恶意程序治理效果显著,而“流氓行为”、“隐私窃取”、“短信劫持”及“诱骗欺诈”类病毒还是以较少的样本数占领了大多数客户端,尤其是黑产用于诈骗的“短信劫持”和“诱骗欺诈” 病毒基本是以1:10的比率影响用户端。此外干扰用户正常使用软件,影响用户体验,随意添加广告书签、广告快捷方式或锁屏等行为的“流氓行为”类病毒也占据大量用户客户端,此类病毒一般用于恶意广告推广为主。

    5.jpeg

    89%的热门应用存在仿冒

    从16个行业分类分别选取了15个热门应用,共240个应用进行仿冒分析,发现89%的热门应用存在仿冒,总仿冒量高达12859个,平均每个应用的仿冒量达54个,总感染设备量达2374万台。3月份的仿冒应用量大幅下降,符合黑灰产在春节假期前后的活动较少的规律。

    6.jpeg

    金融行业银行类仿冒居多,某银行仿冒应用

    全部具有短信劫持行为

    金融行业选取银行、钱包和理财3个子分类,分别选取10个热门应用进行分析,共发现仿冒应用407个。银行类仿冒应用占53%,钱包类 仿冒应用占36%,理财类仿冒应用占11%。

    7.jpeg

    2016年金融行业仿冒应用分布情况


    在本次分析中,某银行共发现30个仿冒应用,全部具有短信劫持行为,感染设备量为33863台,感染用户主要分布在广东、北京和江苏等 省份。


    阿里聚安全移动安全扫描器创新迭代快速,

    帮助企业提高前置安全感知能力

    阿里聚安全移动安全扫描器2016 年全年成功提供的扫描服务305909 次, 平均每天提供的服务838次, 检测漏洞数量达17698883个,全年所有扫描的App中有壳的App占比16.54%,产品迭代发布次数21次,新增规则16条。其中启发式规则扫描可检测外部可控数据对应用内部逻辑的影响, 扫描器能够根据socket、网络、intent传入的数据,进行各种判断,进而判断是否存在可以被恶意用户使用的漏洞,涵盖了网络钓鱼、外部操作系统文件、命令执行、反射操作、启动私有组件( activity 、service等)等各种类型的漏洞。此外,新增的拒绝服务扫描规则还可支持扫描动态注册的组件是否能够引起拒绝服务漏洞。


    18个行业的Top10应用中98%的应用都

    存在漏洞,但Webview远程执行代码漏

    洞迅速下降

    为分析移动应用各行业的漏洞情况,我们在第三方应用市场分别下载了18个行业的Top10应用共计180个,使用阿里聚安全漏洞扫描引擎对这批样本进行漏洞扫描。18个行业的Top10应用中,98%的应用都有漏洞,总漏洞量14798个,平均每个应用有82个漏洞。旅游、游戏、影音、社交类产品漏洞数量靠前。但是高危漏洞占比最高的依次是办公类、工具类、游戏类和金融类。企业在移动数据化进程过程中更需注意员工在使用这些行业APP时的安全威胁。

    8.png

    其中漏洞类型主要集成中“拒绝服务”、“Webview明文存储密码”、“密钥硬编码风险”及“AES/DES弱加密风险”中,“密钥硬编码风险”和“AES/DES弱加密风险” 漏洞会让基于密码学的信息安全基础瓦解,因为常用的密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称密码算法或者签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。


    这里建议企业用户在开发App过程中,通过阿里聚安全的漏洞扫描来检测应用是否具有密钥硬编码风险,使用阿里聚安全的安全组件中的安全加密功能保护开发者密钥与加密算法实现,保证密钥的安全性,实现安全的加解密操作及安全签名功能。

    9.jpeg


    最复杂老道的iOS APT攻击出现

    PEGASUS——三叉戟攻击链 是在对阿联酋的一位人权活动家进行APT攻击的时候被发现。整个攻击链由三个漏洞组成:JS远程代码执行(CVE-2016- 4657),内核信息泄露(CVE-2016-4655),内核UAF代码执行(CVE-2016-4656)。


    利用该攻击链可以做到iOS上的远程完美越狱,完全窃取Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, Wechat SS, Tango等应用的敏感信息。PEGASUS可以说是近几年来影响最大iOS漏洞之一,也是我们认为最复杂和稳定的针 对移动设备APT攻击,可以认为是移动设备攻击里程碑。利用移动设备集长连接的Wi-Fi,3G/4G,语音通信,摄像头,Email,即时消 息,GPS,密码,联系人与一身的特性,针对移动设备的APT攻击会越来越多。

    10.jpeg


    羊毛党、黄牛党在2016年成为互联网

    业务发展过程中最大的毒瘤

    2016年在各种互联网业务活动中,羊毛党、黄牛党继续盛行,各种没有安全防控的红包/优惠券促销活动,会被羊毛党以机器/小号等各种手段抢到手,基本70%~80%的促销优惠会被羊毛党薅走,导致商家和平台的促销优惠最终进入了羊毛党的口袋。黄牛党能够利用机器下单、人肉抢单,将大优惠让利产品瞬间抢到手,然后高价格售出赚取差价。大规模的批量机器下单,还会对网站的流量带来压力,产生类似DDOS攻击,甚至能够造成网站瘫痪。此外使用简单维度的密码验证手法已经演变成使用复杂机器人猜测密码的技术,来逃避简单的策略防御。企业需要更多维度、指标,使用更复杂的规则、模型进行防御。

    11.jpeg


    人机对抗-滑动验证码作为对抗黑产

    的重要手段

    滑动验证码作为对抗人机黑产的重要手段,对筛查出来的“灰黑用户”需要进一步精细判断。进化的滑动验证码已经不再基于知识进行人机判断,而是基于人类固有的生物特征以及操作的环境信息综合决策,来判断是人类还是机器。并且不会打断用户操作,进而提供更好的用户体验。验证码系统在对抗过程中,感知到风险,需要企业实时切换混淆和加密算法,极大提高黑产进行破解的成本。


    阿里聚安全的人机识别系统,接口调用是亿级别,而误识别的数量只有个位数。除了误识别,我们的技术难点还在于如何找出漏报。一般情况下,会对整体用户流量的“大盘”进行监控,一旦监测到注册或登录流量异常,我们的安全攻防技术专家就会紧急响应。这种响应速度是小时级别的。


    另外黑产通过刷库撞库也体现出业务时序的不同而不同。以2016年Q4为例,在双十一之前,黑产主要精力用于各平台的活动作弊,而过了双十一,刷库撞库风险就开始持续走高,稳定占据了所有风险的一半以上。

    12.png


    2016年移动欺诈损失超数亿美金

    目前移动应用通过资源换量、搜索平台、广告网络及代理商、直接推广及自然安装等渠道来推广和互动。但推广者发现投入的费用反映的 推广数据良好,但是沉淀到真是用户却表现非常不乐观。大量的渠道欺诈使得移动应用推广者损失巨大,根据某平台分析,2016年移动欺 诈金额已经超数亿美金。


    常用移动欺诈通过机刷、模拟器、改机工具等手段作弊,如通过一键生成改机软件修改手机硬件参数IMEI、MAC、蓝牙地址等,伪造新手 机多次安装激活App;通过脚本批量操作各种安卓模拟器如天天模拟器、海马玩模拟器、夜神模拟器等,反复进行机刷-App安装-App激 活等操作。阿里聚安全使用稳定的设备指纹技术 + 大数据分析,能准备识别各种作弊手段和作弊设备。为用户节约推广成本、时间成本、 开发成本,保障推广者获取真实的用户数据为业务服务。


    创造纵深的有适应力的数字化业务系统

    互联网+或者企业在面对互联网业务发展过程中的安全威胁时,实施数字化业务系统适应力所需的实践,对传统公司具有极大的挑战,在面对各种业务部门参与、协作的过程中,需要区分业务风险优先级,关注纵深防御节点,做出平衡业务的取舍,才能使业务安全部门更敏捷,更具有弹性。阿里聚安全帮助企业评估业务安全资产与风险优先级,使用纵深防御保护关键价值链上重要节点的安全,在实践中为业务提供针对性的保护。


    阿里聚安全作为提供互联网业务解决方案的领先者,能力涉及移动安全、内容安全、数据风控、实人认证等多个纬度。其中内容安全包括智能鉴黄、文本过滤、图文识别等,移动安全包括漏洞扫描、应用加固、安全组件、仿冒监测等,数据风控包括安全验证、风险识别等,实人认证包括身份造假和冒用的识别。


    目前阿里聚安全已经有超过8亿多终端,使互联网企业享受到淘宝、天猫、支付宝的“同款”安全防护技术,保护互联网企业的业务安全。

    13.jpeg


    编写:迅迪、凝琼@阿里聚安全

    来源:报告由阿里聚安全平台出品


    印刷机,瓦楞纸板,模切机,覆膜机,油墨,水印,开槽,胶印,凹印,装订机,切纸机,糊盒机,粘箱机,纸板线,等离子,胶水,热熔胶,喷胶,贴窗机,二片拼接,PE,PP,捆包机,四联,客户云,双片糊盒机,高精度粘箱机,自动供盘,自动码垛,纸箱,彩盒,后道,机器人,钉箱机,贴面机,裱纸机,单面机
    四联网:四联|印刷机|后道|彩盒|纸箱|糊盒机|模切机|瓦线|捆包机|纸板线