电商篇——移动 APP 安全行业报告

移动 APP 安全行业现状与导读

移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁。

本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 安全行业本貌。本期来看电商篇。

上期金融篇链接:

金融篇——移动 APP 安全行业报告

电商行业移动 APP安全

现状概述

2016年移动电商APP总用户数量约6.3亿,其中约2.7亿用户遭受过不同程度安全问题,占比约43%。

电商行业移动 APP 受漏洞影响如图所示

高危占比14%:数据传输不安全导致用户订单泄露、篡改。

中危占比55%:本地数据存储不安全、用户隐私泄露。

低危占比29%:APP 业务逻辑被破解、算法剽窃。

支付安全问题依旧位列电商行业移动 APP 安全问题之首,而被“薅羊毛”问题当属电商行业移动 APP 安全问题的代表。

本篇报告我们针对电商行业移动 APP 代表性安全问题——被“薅羊毛”共同深入分析。

电商行业移动 APP 所遇安全问题

图示说话

与传统零售相比,用户网购体验流程区别较大,基本遵循下图所示的网购流程。

 网购流程图

每一个环节都可能引致重大的安全问题,电商 APP 也不例外。下面谈谈网购流程中较容易出现安全问题的三个环节:

1账号注册-登录

电商 APP 的使用流程中,注册-登录过程都可以通过一些自动化工具来完成——批量注册账号、扫号。“羊毛党”们则利用了这一点, 刷取了大量的活动资源。因此,电商APP账号注册-登录系统则是电商平台打击黑产以及薅羊毛的第一道防线。

“羊毛党”们批量注册、扫号流程图

PS:扫号是指使用扫号器对账号、密码进行批量验证。

2商品浏览

移动电商行业中,商家通过“平台活动”吸引用户、促进销量。而“羊毛党”则是通过“强占”商家的这种优质资源并转手真正的用户来谋利。损害了商家与用户的双向权益。

薅羊毛关系链

3订单支付

支付系统是电商 APP 必不可少的一个模块,涉及到用户的账户密码、资金安全。用户在 APP 上支付时,数据如果不做有效保护,随时会被不法分子利用。 

电商行业移动  APP 所遇安全问题

案例说话

国内著名移动运营商遭黑卡薅羊毛,流量平台一月被抢8.2万G

2016年12月10日至2017年1月6日期间,某运营商的“有奖答题”营销活动被羊毛党疯狂利用,导致活动开始时网页崩溃,活动福利一抢而空。

参考链接:

http://tech.qq.com/a/20161214/003524.htm

上述案例全过程分析

1薄弱环节:无法鉴别真实用户

爆发这场“薅羊毛”大战的技术原因在于运营商(客户端APP、APP后台)无法有效识别出哪些是真实用户、哪些是羊毛党,也就是缺少图中所示的强大、高效的用户身份鉴别模块。

身份鉴别模块作用示意图

2突破关键:手机号验证已经不是门槛

为提高注册用户身份的真实性、过滤出高价值用户以及防止恶意注册、扫号,案例中的运营商使用了短信验证码。为此,如何突破短信验证码就成为薅羊毛的关键一步。如下图手机打码关系链图。

手机打码关系链

3“薅羊毛”的产业链:分工有序

整个“薅羊毛”有着完备、成熟的产业体系。羊毛党们经过精心的准备,接下来的攻击和套现就变得简单化、便捷化。羊毛党们利用打码平台和卡商提供的海量手机号以及提供的打码服务在运营商的流量平台上批量注册账号,并用注册到的账号采用自动化的软件参与运行商的“有奖答题”活动。整个薅羊毛关系链暴露出这样的核心问题:单纯依据手机号码来鉴别用户已不足以满足电商 APP 被“薅羊毛”的安全需求。看看黑产在这个方向的专业分工:

“薅羊毛”过程图示

电商行业 APP 安全问题

解决方案

随着互联网的蓬勃发展,网购已经成为居民生活消费不可获取的重要部分。除了移动应用通用安全问题外,电商 APP 在业务安全方面存在的问题较大,腾讯云乐固针对电商 APP 提供了定制的安全解决方案。

1乐固支付安全解决方案

采用高度定制的安全键盘,严格的双认证传输通道,确保输入数据安全以及输入层到传输层的数据安全,有效防止截屏、输入信息窃取等威胁。

2乐固应用安全解决方案

乐固安全产品在源码、资源文件、运行时内存、逆向破解等方面对电商 APP 进行全方位保护。

3乐固&天御业务安全解决方案

在 APP 集成短信验证码安全 SDK,与腾讯云乐固&天御防刷后台配合,有效防止批量注册、扫号以及“薅羊毛”等恶意行为,避免企业被刷带来的巨大经济损失。

多维度联合防刷-防薅

小结

对抗“羊毛党”,根源上是识别用户是否真实,是否可靠。电商平台需从多维度去鉴别、过滤。

腾讯云安全为用户提供了防刷安全解决方案,为电商平台业务安全保驾护航: 使用腾讯云乐固,可对终端 APP 进行保护,进行数据加密、鉴权认证,防止在终端层面进行伪造和破解; 而腾讯云天御,基于腾讯数十年积累的对抗经验,对各类黑产数据,如设备信息、手机号等可做到精准识别。并借助长期对抗建立起的恶意识别模型,快速感知异常行为,识别恶意请求。

本期对电商行业移动 APP 安全的分析先告一段落。

下期关键词预告:游戏行业、破解、重打包

戳底部阅读原文,即可获取移动 APP 安全行业安全问题详细解决方案。

或者你对电商行业安全问题有不同见解,欢迎留言讨论。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2017-02-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算

云数据库安全与农场和餐馆:知道来源的重要性

要确保公司云资产的安全性,首先要应用基于虚拟网络独特性修改的可靠的数据安全实践。云服务正逐渐获得IT经理们的信任,他们一直对将公司的关键业务资产放在云上的安全性...

19310
来自专栏FreeBuf

EU GDPR:金融机构需注意的GDPR要点分析

GPDR正式实施期限是2018年5月25日,任何一个未能满足新法规的组织将面临高达前一年全球收入4%的罚款,或者是2000万欧元。无论实施了哪种罚款,任何进一步...

941
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(十三)

2016年中国网络空间安全年报 第三章 安全监管的现状与网络安全法落地思考 在第一章与第二章中,阐述了当前网络空间中国面临的安全风险,并提出了应对的安全...

3047
来自专栏云计算D1net

涉及到数据主权时,云计算用户会担心什么?

在不安全的地方持有数据,这将会引起一些争论。数据丢失事件可能会导致企业和个人的信息丢失等重大问题,这使他们面临着身份盗窃或经济损失较高的风险。 事实上,当欧盟通...

3064
来自专栏区块链技术开发与技术解决方案

区块链技术公司谈论需要知道GDPR的五件事

今年,我们目睹了两个强大的数据隐私新力量:欧盟通用数据保护条例(GDPR)和基于区块链的隐私解决方案的出现。随着区块链技术公司不断构建新的解决方案,他们应该牢记...

1983

GDPR:对您的数据管理环境的影响(第1部分)

遵守欧盟“通用数据保护条例”(GDPR)的时间线正在快速接近。从2018年5月25日起,任何未能满足新法规的组织将面临最高达全球收入的4%或2000万欧元的罚款...

2054

实时数据分析:未来之路

即使商业世界仍在处理如何充分利用来自各种不同客户接触点的业务以及交易和相互作用产生的大量数据的问题,我们也看到了另一方面数据的曙光 ,即实时流数据 ,如果不是更...

2437
来自专栏灯塔大数据

深度|大数据时代 银行信息安全如何防护?

互联网的放大效应使公众的容忍度越来越低,尤其是信息安全事件的影响,让银行面临的声誉风险压力倍增。不容乐观的是,在数据大集中已经成为潮流的今天,信息安全风险也在...

3369
来自专栏云计算D1net

传谷歌将建无线移动网络 挑战传统运营商

4月4日消息,据国外媒体报道,有迹象表明谷歌正在考虑运营自己的无线网络。消息人士表示谷歌公司高管一直在讨论在已经安装了谷歌光纤高速网络的地区提供无线服务。也有消...

2964
来自专栏黑白安全

大多数数据泄露事故的罪魁祸首是人为失误,而不是黑客攻击

根据风险缓解和调查服务公司Kroll的最新分析数据显示,英国信息委员会(ICO)收到的数据安全事件报告数量在过去两年中飙升了75%,其中绝大多数安全事件要归咎于...

632

扫码关注云+社区