電商篇——移動 APP 安全行業報告

移動 APP 安全行業現狀與導讀

「

移動應用開發者所面臨的安全問題主要涉及面有

終端漏洞威脅，應用重打包威脅，應用仿冒威脅。

本移動 APP 安全行業報告將對金融、電商、遊戲三大重災區行業進行舉例分析並配以圖表說明，還原移動 APP 安全行業本貌。

本期來看電商篇。

上期金融篇鏈接：

金融篇——移動 APP 安全行業報告

」

電商行業移動 APP安全

現狀概述

2016年移動電商APP總用戶數量約6.3億，其中約2.7億用戶遭受過不同程度安全問題，佔比約43%。

電商行業移動 APP 受漏洞影響如圖所示

高危佔比14%：

數據傳輸不安全導致用戶訂單泄露、篡改。

中危佔比55%：

本地數據存儲不安全、用戶隱私泄露。

低危佔比29%：

APP 業務邏輯被破解、演算法剽竊。

支付安全問題依舊位列電商行業移動 APP 安全問題之首，而

被「薅羊毛」問題當屬電商行業移動 APP 安全問題的代表。

本篇報告我們針對電商行業移動 APP 代表性安全問題——被「薅羊毛」共同深入分析。

電商行業移動 APP 所遇安全問題

圖示說話

與傳統零售相比，用戶網購體驗流程區別較大，基本遵循下圖所示的網購流程。

網購流程圖

每一個環節都可能引致重大的安全問題，電商 APP 也不例外。下面談談

網購流程中較容易出現安全問題的三個環節：

1

賬號註冊-登錄

電商 APP 的使用流程中，註冊-登錄過程都可以通過一些自動化工具來完成——批量註冊賬號、掃號。「羊毛黨」們則利用了這一點， 刷取了大量的活動資源。因此，電商APP賬號註冊-登錄系統則是電商平台打擊黑產以及薅羊毛的第一道防線。

「羊毛黨」們批量註冊、掃號流程圖

PS：

掃號

是指使用掃號器對賬號、密碼進行批量驗證。

2

商品瀏覽

移動電商行業中，商家通過「平台活動」吸引用戶、促進銷量。而「羊毛黨」則是通過「強佔」商家的這種優質資源並轉手真正的用戶來謀利。

損害了商家與用戶的雙向權益。

薅羊毛關係鏈

3

訂單支付

支付系統是電商 APP 必不可少的一個模塊，涉及到用戶的賬戶密碼、資金安全。

用戶在 APP 上支付時，數據如果不做有效保護，隨時會被不法分子利用。

電商行業移動 APP 所遇安全問題

案例說話

國內著名移動運營商遭黑卡薅羊毛，流量平台一月被搶8.2萬G

2016年12月10日至2017年1月6日期間，某運營商的「有獎答題」營銷活動被羊毛黨瘋狂利用，導致活動開始時網頁崩潰，活動福利一搶而空。

參考鏈接：

http://tech.qq.com/a/20161214/003524.htm

上述案例全過程分析

1

薄弱環節：無法鑒別真實用戶

爆發這場「薅羊毛」大戰的技術原因在於運營商（客戶端APP、APP後台）

無法有效識別出哪些是真實用戶、哪些是羊毛黨

，也就是缺少圖中所示的強大、高效的用戶身份鑒別模塊。

身份鑒別模塊作用示意圖

2

突破關鍵：

手機號驗證已經不是門檻

為提高註冊用戶身份的真實性、過濾出高價值用戶以及防止惡意註冊、掃號，案例中的運營商使用了簡訊驗證碼。為此，如何

突破簡訊驗證碼就成為薅羊毛的關鍵一步

。如下圖手機打碼關係鏈圖。

手機打碼關係鏈

3

「薅羊毛」的產業鏈：分工有序

整個「薅羊毛」有著完備、成熟的產業體系。羊毛黨們經過精心的準備，接下來的攻擊和套現就變得簡單化、便捷化。

羊毛黨們利用打碼平台和卡商提供的海量手機號以及提供的打碼服務在運營商的流量平台上批量註冊賬號，並用註冊到的賬號採用自動化的軟體參與運行商的「有獎答題」活動。整個薅羊毛關係鏈暴露出這樣的核心問題：

單純依據手機號碼來鑒別用戶已不足以滿足電商 APP 被「薅羊毛」的安全需求。

看看黑產在這個方向的專業分工：

「薅羊毛」過程圖示

電商行業 APP 安全問題

解決方案

隨著互聯網的蓬勃發展，網購已經成為居民生活消費不可獲取的重要部分。除了移動應用通用安全問題外，電商 APP 在業務安全方面存在的問題較大，

騰訊雲樂固針對電商 APP 提供了定製的安全解決方案。

1

樂固支付安全解決方案

採用高度定製的安全鍵盤，嚴格的雙認證傳輸通道，確保輸入數據安全以及輸入層到傳輸層的數據安全，有效防止截屏、輸入信息竊取等威脅。

2

樂固應用安全解決方案

樂固安全產品在源碼、資源文件、運行時內存、逆向破解等方面對電商 APP 進行全方位保護。

3

樂固&天御業務安全解決方案

在 APP 集成簡訊驗證碼安全 SDK，與騰訊雲樂固&天御防刷後台配合，有效防止批量註冊、掃號以及「薅羊毛」等惡意行為，避免企業被刷帶來的巨大經濟損失。

多維度

聯合防刷-防薅

小結

對抗「羊毛黨」，根源上是識別用戶是否真實，是否可靠。電商平台需從多維度去鑒別、過濾。

騰訊雲安全為用戶提供了防刷安全解決方案，為電商平台業務安全保駕護航：

使用騰訊雲樂固，可對終端 APP 進行保護，進行數據加密、鑒權認證，防止在終端層面進行偽造和破解；
而騰訊雲天御，基於騰訊數十年積累的對抗經驗，對各類黑產數據，如設備信息、手機號等可做到精準識別。並藉助長期對抗建立起的惡意識別模型，快速感知異常行為，識別惡意請求。

「

本期對電商行業移動 APP 安全的分析先告一段落。

下期關鍵詞預告：

遊戲行業、破解、重打包

戳底部

閱讀原文

，即可獲取移動 APP 安全行業安全問題詳細解決方案。

或者你對電商行業安全問題有不同見解，歡迎留言討論。

」

Hi，第一次見面嗎

長按下方二維碼識別關注

第一時間獲取

移動 APP 安全行業報告系列

下期最新訊息

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: